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REFACE 


随 着 信息 网 络 的 发 展 ,互联 网 对 信息 的 保密 和 安全 的 要 求 越 来 越 高 , 信 
息 安 全 建设 不 仅 关 系 到 个 人 、 单 位 利益 ,更 重要 的 是 关系 到 国家 的 安全 和 发 
展 .很 多 与 计算 机 相关 的 专业 开设 了 密码 学 及 信息 安全 的 课程 ,但 是 所 采用 
的 大 部 分 教材 将 密码 学 与 数学 内 容 分 开 , 且 大 多 只 介绍 数学 结论 ,学 生 很 难 
掌握 密码 学 的 思想 和 算法 . 本 教材 按照 所 需 的 数学 基础 知识 结构 编排 ,将 密 
码 学 的 内 容 融 入 数论 和 代数 中 ,学 生 在 学 习 密 码 学 的 每 一 部 分 内 容 之 前 , 刚 
好 学 完了 所 需 的 基础 知识 .内 容 编排 循序 渐进 ,由 浅 入 深 , 重 点 突出 , 尽 可 能 
讲 清楚 内 容 的 方法 和 原理 ,以 所 需 知 识 和 思想 方法 先 做 铺垫 ,使 学 生 更 加 容 
易 理解 ,能 够 学 得 轻松 ,记得 清楚 . 

本 教材 重点 介绍 密码 学 的 基本 思想 和 基本 方法 ,包含 数论 和 代数 基础 
知识 、 经 典 密码 、 对 称 密码 、 公 钥 密码 、 数 字 签 名 等 其 他 信息 安全 知识 的 内 
容 , 考 虑 到 很 多 学 校 密码 学 和 信息 安全 课程 还 包括 课 内 实验 ,在 第 5 章 之 后 
附加 了 课 内 实验 内 容 , 安 排 这 些 实验 是 为 加 深 学 生 对 算法 或 操作 的 理解 和 
认识 ,也 可 以 提高 学 生 的 应 用 能 力 和 编程 解决 实际 问题 的 能 力 . 维 吉 尼 亚 密 
码 作 为 经 典 密码 的 代表 ,第 1 章 学 完 可 以 开始 ;RSA 公 钥 作为 基于 大 整数 
分 解密 码 系 统 的 代表 ,第 2 章 第 2 节 学 完 可 以 开始 ;Gamal 公 钥 作为 基于 离 
散 对 数 密码 系统 的 代表 ,第 2 章 学 完 可 以 开始 ; 流 密码 密 钥 生成 程序 设计 第 
4 章 学 完 可 以 开始 ;序列 码 生 成 程序 设计 作为 认证 码 的 一 个 应 用 ,第 5 章 第 
1 节 讲 完 可 以 开始 ;Windows 7 自 带 防火 墙 的 配置 第 5 章 第 5 节 讲 完 可 以 
开始 . 又 考虑 到 不 同 专业 学 生 掌握 的 编程 语言 不 同 , 所 以 附加 了 用 Java、 
MATLAB、Maple 实现 部 分 密码 系统 的 实验 参考 程序 . 之 所 以 选择 这 3 种 
语言 是 因为 :其 一 ,Java 是 计算 机 专业 最 基本 的 编程 语言 ;其 二 ,MATLAB 
是 理工 科学 生 使 用 较 多 的 编程 语言 ;其 三 ,Maple 是 实现 一 些 算法 简单 高 效 





Ds 


的 编程 语言 ,特别 适合 研究 型 读者 使 用 . 教师 可 以 根据 教学 实际 情况 选取 . 
很 多 学 校 密码 学 和 信息 安全 课程 (包括 实践 环节 ) 为 64 学 时 或 更 少 学 时 ,为 
了 适应 这 种 情况 ,在 保证 教材 内 容 完整 和 推导 严谨 的 同时 ,结合 各 学 校 教 学 
的 实际 情况 ,将 某 些 内 容 设置 为 选 讲 内 容 , 用 星 号 标注 . 在 教学 时 可 以 跳 过 
这 些 内 容 . 但 是 对 于 研究 型 读者 来 说 , 搞 清 楚 这 些 内 容 , 有 助 于 理解 后 面 的 
内 容 . 本 教材 各 章节 配备 了 适量 习题 ,还 配备 了 教学 课件 ,需要 教学 课件 的 
读者 可 向 作者 索取 . 本 教材 可 能 会 有 需要 改进 的 地 方 , 若 读者 发 现 其 中 的 问 
题 , 请 通过 邮箱 与 作者 联系 ,以 便 在 再 版 时 加 以 完善 . 


作者 
2018 年 6 月 
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整除 性 、 同 余 与 经 典 密码 


1.1 整数 的 整除 性 


1.1.1 整除 的 概念 


本 书 中 ,用 N=={0,1,2,3,…} 表 示 自 然 数 的 集合 ,Zt == {1,2,3,…} 表 示 正 
整数 的 集合 ,Z={… ,一 2, 一 1,0,1,2,…) 表 示 全 体 整 数 的 集合 . 

两 个 整数 相 加 、 相 减 , 相 乘 的 结果 仍然 是 整数 ,但 是 两 个 整数 相 除却 不 一 定 
是 整数 . 


| 设 ,0EZ,0 天 0, 若 六 EZ, 则 说 4b 整除 4a, 记 作 bla, 也 说 5b 是 a 


的 因数 或 4 是 4 的 信 数 ; 若 产 &Z, 则 说 4 不 能 整除 a. 


为 了 使 表达 简洁 ,用 VY 表示 “对 于 一 切 ”, 用 二 表示 “ 剖 含 ”, 仿 表示 “ 当 且 
仅 当 ”. 
定理 1.1 bla 仿 存在 g€2Z, 使 得 a==bq(b 关 0). 


证 车 0la 二 gE€2ZV, 即 4 二 bq(6b 关 0); 反 过 来 ,车 a 二 bg(5b 关 0) ,两 边 同 除 





以 5, 则 得 六 =g€E Zz 
当 g 关 士 1, 士 4 时 , 则 说 2 是 4 的 真 因数 . 
整除 有 以 下 基本 性 质 . 
定理 1.2 (1) clb,bla=ela. 
(2) dlasdlb=> Vp.gEZ,d| (patgb). 
(3) bla,a#¥0=16|<lal. 
(4) bla,cA0 SO cg|ca. 
证 (1) cl6b,bla=>b=cs,a=btSa= (cs)t=c(st)ela. 
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(2) a=ds,b=dt,pat+gb=dps+dgt=d(ps+gqt)=>d| (pa 十 q0). 
(3) wa 一 pc 之 |a| 三 10||c|l ,a#0=|al0. 又 |c| 宇 1=>16||al. 
(4) a=bs> ca 一 cb 一 cg| ca 

例 1.1 个 连续 整数 的 乘积 能 被 上 ! 整 除 . 

证 考查 n(n 一 1)…(n 一 k 十 1). 

(1) 若 (一 A 十 1) 之 0, 则 


C= DD Espl n(n Daktl). 


(2) 若 zz 一 1)…(2 一 A 十 1) 一 0, 则 &!10. 

(3) 若 寂 <0, 则 一头 一 录 盖 0. 令 允 = 一 允 , 则 到 (一 1)… (2 一 必 十 1) 一 
(一 2 (一 2 一 DD( 一 n 一 k 十 1) 二 (一 D(x 十 1)…(n 十 k 一 1) ,归结 为 第 一 
种 情况 . 

因此 ,kx Gr 十 D(x 十 一 了 ,所 以 ,RI 一 D(x 十 1)… (x 十 k 一 1), 即 
kl|ln(n—1)"(n—k+1). 

例 1.2 证 明 对 于 任何 正 整 数 n,6|n(n 十 1) (2n 十 1). 

证 722 十 1)(22 十 1) 一 2(2 十 1)(2 一 1 十 2 十 2) 

二 (n 一 1)n(n 十 1) 十 n(n 十 1)(n 十 2)， 




















由 例 1. 1， 
3!|(z 一 1)z(G2z 十 1)， 3!1|2(2 十 1)(2z 十 2)， 

因此 ,6ln(n 十 1) (2n 十 1). 

定理 1.3( 带 余 除法 ) 设 ,0EZ,0>>0, 则 存在 唯一 的 g,r, 使 得 

a=bg+r, 0<r<b. 

证 作 数 列 …, 一 25, 一 b,0,6,25,…, 则 a 必 落 在 某 一 区 间 且 只 能 落 在 一 个 
区 间 , 即 存在 9 使 

0 委 a 天 (q 十 1)0 全 0 和 < 一 0 天 0. 令 > 一 4 一 00, 则 有 a 二 qb 十 r,0 志 rb. 由 
于 只 能 在 一 个 区 间 ,所 以 g 唯一 ,从 而 7 唯一 . 


1.1.2 最 大 公 因数 


定义 1.2 设 a.,b EZ,asb 不 全 为 0, 如 果 dla 且 d15; 则 称 4 为 a 和 2 的 公 
因数 . 而 把 a 和 2 的 所 有 公 因 数 中 最 大 的 称 为 a 和 2 的 最 大 公 因 数 , 记 为 (a,b) 
或 gcd(a,b). 

最 大 公 因 数 的 概念 可 以 推广 到 多 个 , 即 个 不 全 为 0 的 整数 al ,az ,an 
的 所 有 公 因 数 中 最 大 的 称 为 al ,az,…',a 的 最 大 公 因 数 , 记 为 (a ,az，…,a,) ,或 
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gcd(Cal ,az ，…y an ). 
定理 1.4 (a,b)= (lal ,12|). 
证 dla,dlb 仿 dillal,d|l165|, 即 a,b 的 公 因 数 集 与 |a| ,12| 的 公 因 数 集合 
相同 ,因此 最 大 的 也 就 相同 . 
定理 1.4 表明 , 求 两 个 整数 的 最 大 公 因 数 归结 为 求 两 个 正 整 数 的 最 大 公 因 
数 , 故 求 a 的 公 因 数 时 , 若 < 是 负数 , 则 可 以 去 掉 a 的 负 号 . 
定理 1.5 如 果 a=bg 十 c, 则 (a,5)== (5,c). 
证 车 dla,dlb=>dlb,d|(a 一 bq), 即 dlc; 反 过 来 , 若 d1b,d|c=>d1b,d| (bq+c)， 
即 dla. 这 表明 a,b 的 公 因数 集 与 5,c 的 公 因数 集合 相同 ,最 大 的 也 就 相同 . 
例 1.3 cl|(a 十 0 , 则 (ayc) 王 (0c). 
证 ax 十 0 一 cs 之 4 一 cs 一 5, 由 定理 1.4、 定 理 1.5,(a,c)==(b,c). 
求 两 个 正 整 数 的 最 大 公 因 数 的 方法 称 为 轰 转 相 除法 ,又 称 为 欧 几 里 得 除法 . 
定理 1.6 设 a,5€E77* ,反复 用 带 余 除法 , 即 用 每 次 的 余数 为 除数 去 除 上 一 
次 的 除数 ,直到 余数 为 0, 可 得 
a=bqt+ri, 0<=r<=6, 
0 一 mgz 十 rz ， 0<rs<n, 
ri=req3+rs, 0<rs<r:, 








+ 








Va = Pig iy Or 





ri = = 
最 后 一 个 不 为 0 的 余数 就 是 a 和 4 的 最 大 公 因 数 . 
证 由 定理 1.5 
(a.b)=(0b,n)= (rr) = = r= (7, 0)=r,. 
例 1.4 求 (525,231). 
解 将 525 和 231 思 转 相 除 ,得 

525 二 2X231 十 63， 

231 二 3X63 十 42， 

63 二 1X42 十 21， 

42 二 2X21 十 0. 
这 个 过 程 可 以 按 如 下 竖 式 计算 出 来 : 

21525 231|3 
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所 以 (525,231) 一 21. 

定理 1.7 a,b 的 公 因 数 集 与 (a,5) 的 因数 集合 相同 . 

证 设 d 是 a,b 的 公 因 数 , 即 dla,d15, 则 由 回转 相 除 法 的 过 程 ,得 d |= 
(a,0), 即 a,b 的 公 因 数 是 (a,65) 的 因数 ; 反 过 来 , 设 d 是 (a,0) 的 因数 , 则 4d|(a,5). 
而 (a,0)1a,Ca,0)165, 于 是 dla,d1b,; 即 (4a,6) 的 因数 是 a,b 的 公 因数 . 

推论 1.1 VEREZ,(a,b)= (a,b+ka). 

证 (a,b)|a,(a,0)15, 由 定理 1.5 坟 (a,8)|1 (6 十 ka) ,从 而 (a,0)|(a,b 十 ka); 令 
d=(a,bTka), 则 dla,d|ka+b=>d| (十 Ra) 一 Re, 即 dlb=d| (a,b). 

将 推论 1.1 用 于 例 1.4, 有 (525,231) 二 (525 十 (一 2)。231,231) 二 (63， 
231) 王 (63,( 一 4)。63 十 231) 王 (63,21) 王 21. 

《 九 章 算术 》 中 的 更 相 减 损 术 ,相当 于 ae 之 2 二 0,A 三 一 1 的 情况 下 的 推论 





jx 
“ 引 理 1.1 设 a,bE2Z,g; 由 轧 转 相 除法 得 到 , 则 
Qia 一 P5 王 (一 1) 生 17 这 里 
= P= Pi—@ Pi Psp 
Q@=0, Q=1;s Qt = qrQi-iT Qe-2， k=2,35" Nn, 
证 对 用 数学 归纳 法 . 当 &=1 时 ,Qa 一 P16 二 a 一 q1b 二 ri ,结论 成 立 ; 
当 k=2 时 ,Qa 一 P26==a(gzsQi 十 Qo) 一 (qzPi 十 Po)b= 一 2. 
假定 对 于 小 于 结论 成 立 , 则 
Qa — Pb =(qQiitQ2)a— (gePrit Pea)b 
=qg (Qi1a— P10)+TQ 2a— Psb 
= — I Smit — De a= — 1 (gr —ri 2) 
=(—1)" (grii— (riqi trs)) 
=(—1D) (nn)=(— Din, 
即 结论 对 于 成 立 . 
定理 1.8 az 十 by 一 (ab) ,aa 二 0.0>0 的 一 个 解 为 
二 DQ 
证 在 引 理 1.1 中 取 k=n, 即 得 . 
推论 1.2 设 a,b 不 全 为 0,a.5EZ, 则 存在 x,yEZ, 使 (a 0) 二 za 十 yb. 
证 不 妨 设 a 关 0. 若 x,y 满足 |alx 十 by 二 (a,0), 当 a 二 0 时 ,一 x,y 满足 
arttby= (a,b). 
定义 1.3 ”如果 整数 a 与 整数 b 的 最 大 公 因 数 为 1, 则 称 a 与 5 互 素 , 记 为 
(CasD)=1.; 





























1.1 整数 的 整除 性 人 


互 素 的 概念 可 以 推广 到 多 个 , 即 若 个 整数 al,as,…,a, 的 最 大 公 因 数 为 
1, 则 称 al ,az,… ,a 互 素 , 记 为 (al ,as，…,a,) 二 1. 

如 果 aa ,az ,…,a 中 任意 两 个 都 互 素 , 则 称 ca ,as,… ,a, 两 两 互 素 . 

例如 2,3,6 互 素 ,2,3 互 素 ,但 2,6 不 互 素 ,所 以 2,3,6 不 是 两 两 互 素 . 

推论 1.3 (a,6)==] 全 存在 s,1€2Z, 使 得 ye 十 万 一 1. 

证 “=>”(a,b) 二 1, 由 推论 1.2 直接 得 出 ; 

“=” 苦 有 5,tEZ, 使 sa 十 妇 ==1, 若 dlayd165; 则 d|(sa 十 10)==1, 即 (a,6)=1. 

定理 1.9 设 a,bEVa,b 不 全 为 0, 则 YmEZVt ,有 (ma,mb) 二 m(a,b). 

证 将 回转 相 除 法 的 等 式 乘 以 m, 有 

am=bmqi+trnm, 0<nm<bm, 





bm=rimqgs +rm, 0<rim<rim, 


rim=remqs+ram, 0<rsm<rsm, 


rs-2m=rsimqn trim, 0<rim<r-im, 





rim=rmgatit rm, rm=0, 

所 以 (am.bm)=rim = (ab)m. 

定理 1.10 a,b,cEZ,byc 不 全 为 0, 且 (a,c)==1, 则 (ab,c)== (b,c). 

证 (a,c)==1, 故 存在 s,1 EZ, 使 得 sa 十 tc 二 1, 两 边 乘 以 5, 得 s(ab) 十 tbc== 
b. 若 dlab,dlc,; 则 dl16. 反 之 ,; 阁 dlb,dlc: 则 dlab, 故 ab,c 与 5,c 有 相同 的 公 因 
数 , 由 有 限 数 集 的 最 大 数 唯一 ,得 (ab,c) 一 (0,c). 

推论 1.4 若 (ayc) 三 1,(0c) 王 1, 则 (cbvc) 王 1. 

推论 1.5 车 clab,(a,c)==1, 则 clb. 

证 clab,|c|==(c,ab)==(c,6), 由 定理 1.10, 得 cl|b. 

定义 1.4 设 alm,blm, 则 说 m 是 a,b 的 一 个 公 倍数 ,最 小 的 正 公 倍数 称 为 
最 小 公 倍 数 , 记 作 [a,0] 或 lem(a,b). 


定理 1.11 设 a,6 EZ+ , 则 [a,6] 一 好 
a.b) 


证 设 alm,blm 坟 >m 二 ak 二 bs. 邻 a 二 (a,Da ,b= 二 (a,0)01, 则 




















| 让: 
m= (abak=(abhsak=bs, (a:bi) (ss) Ys 


blk,Bh k=6tm= (a,b)abit= 2 t, 
(a.b) 








:二 1 时 最 小 , 即 [a, 轨 一 
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了 ab _ 18X12 
例如 ,a==18 一 2X3* ,b=12 一 2? X3,(a,b)=6,[a,b] 一 0 一 081 -36 








EN 
习题 1.13 
四 
1. 对 任意 整数 ,证明 301n5 一. 
2. 求 (39,63). 


3. 设 grr" 十 qn_1x"! 十 … 十 ao 是 一 个 整 系数 多 项 式 , 则 它 的 有 理 根 全 一定 


满足 p lao ,qla,， 从 而 证 明 V2 不 是 有 理 数 . 
1.2 不 定 方程 


1.2.1 二 元 一 次 不 定 方程 


世纪 《 张 丘 建 算 经 》 里 ,有 一 道 百 鸡 问题 ; 
鸡 翁 一 ,值钱 五 ， 
鸡 母 一 ,值钱 三 ， 
鸡 难 三 ,值钱 一 ， 
百 钱 买 百 鸡 ， 
问 鸡 翁 , 鸡 母 , 鸡 稚 各 几何 ? 
设 买 公鸡 工 只 , 买 母 鸡 > 只 , 买 小 鸡 = 只 ,那么 


a 


公元 








Z 十 y 十 z 一 100， 《= 
5z 十 3y 十 /3 一 100， Gl 
(1 一 2)X3 一 (1 一 1) ,得 14z 十 8y 二 200, 即 
7z 十 4y 一 100. 
设 a,b,c 是 整数 ， 
azr 十 by 一 < (1-3) 


称 为 二 元 一 次 不 定 方程 . 适合 方程 (1-3) 的 整数 x,y 称 为 该 不 定 方程 解 . 

并 不 是 所 有 二 元 一 次 方程 都 有 解 , 例 如 方程 4+ 十 12y 二 15 无 解 ,因为 对 任 
意 整数 zx,y'4z 十 12y 永远 是 偶数 . 

定理 1.12 设 ab 关 0, 则 cz 十 by 一 c 有 解 全 (a,6)|c. 

证 “=>” 若 方程 (1-3) 有 和 解 zx,y,; 即 az 十 by 二 c; 则 (a,6)1a,(a,5)15,; 因 此 








1.2 不 定 方程 4> 
(ap) | (aztby),B (a,b) |c， 


“<” 若 (a,0)|c, 则 c= 二 (a,b)ci, 由 存在 整数 s,t 使 得 (a,6) 二 sa 十 tb, 两 边 乘 
以 oo, 有 c=(asD)c==(sci)a 十 (tc1)b; 则 z=sc ,y= 二 tc 就 是 ax 十 by==c 的 一 
个 解 . 
由 定理 1.12, 当 ax 十 by 二 c 有 解 时 ,(a,6)|c, 令 c= 二 (a,b)c ,由 定理 1.8 得 ， 
az 十 by 二 (a,0) ,a 之 0,0 之 0 的 一 个 解 为 6 二 (一 1)”!1Q, ,yo 二 (一 1)"P,, 故 ax 十 
by 二 《a,b)c,a 之 0,6 之 0 的 一 个 解 为 zo 王 (一 ID) 一 !Qicl ,yo 二 (一 1)"Psc1, 若 a 或 
b 小 于 0, 只 需 将 zo 或 yo 反 号 . 

定理 1.13 若 zo ,yo 是 方程 (1-3) 的 一 个 解 , 则 方程 (1-3) 的 一 切 解 可 表示 为 


b a 
oY tet iEZ. (1-4) 


证 先 证 式 (1-4) 是 方程 (1-3) 的 解 . 


- a es __ab 7 
a ct) to (mt!) oz toy ta Dt ca:— 


式 (1-4) 是 方程 (1-3) 的 解 . 
假设 x ,y 是 方程 (1-3) 的 另 一 解 , 即 azx’+by 一 < 一 azo 十 0yo, 则 


/ a he b / _ 品 
世人 到 0 VY To) CC 本 CL-8 








w= 

















(a,b)’ (a,b) 


x( we ]=1, ut 











a / / a 1 a 
a | WY or pap dy te 


3 / 


a A, 条 
代 回 式 (1-5), 有 ,太一 C0 


现在 来 求 百 鸡 问题 中 的 二 元 一 次 不 定 方程 7z 十 4y 王 100 的 解 ,显然 zx 一 0， 

3 二 25 是 一 个 解 , 它 的 一 切 解 为 
T=0—4t, yy 一 站 十 72， z=100—z—y=75—3%, 

又 zyyz 非 负 ,因此 一 3 过 t<0. 取 t=0,t Lsz D5 3, 就 有 : zx 二 
0,y 一 25,z 一 75;z 一 4,y 王 18,z 一 78;7x 一 8,y 王 11,z> 一 81;z 王 12,y 一 4,z 一 84. 三 
种 鸡 都 买 , 则 z,y,* 都 是 正 整数 , 故 后 三 组 解 符合 题 意 . 

再 来 看 求 二 元 一 次 不 定 方程 一 个 解 的 一 般 方法 . 

例 1.5 求 525z 十 231y 王 21 的 一 个 解 . 

解 例 1.4 已 求 出 过 qq ,gs ,qi , 因 为 mm 是 最 后 一 个 不 等 于 0 的 余数 ,所 
以 "一 3, 不 要 qi. 
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P: 王 Pu 十 Pi。9g 一 1 十 2X3 王 7,…, 由 定理 1. 8,zo 一 (一 1)24 一 4, y 一 
(一 1)39 王 一 9 为 它 的 一 个 解 . 


1.2.2 三 元 一 次 不 定 方程 


设 a,b,c,d 是 整数 ， 
az 十 0y 十 cz 一 dd 《1=6 
称 为 三 元 一 次 不 定 方程 . 类 似 于 二 元 一 次 不 定 方程 的 情况 ,可 以 证 明 方 程 (1-6) 
有 解 之 (ab,c)|d ,注意 到 (ae ,bc)|(a,0) ,方程 (1-6) 可 以 分 解 为 两 个 二 元 一 次 
不 定 方程 
aztby=(asb)t 和 (a,b)t+tez=d 
分 别 求解 再 合 起 来 消去 1, 就 得 到 了 方程 (1-6) 的 解 . 


dR 3 8 HF AED, 


4 习题 1.23 


1. 解 不 定 方程 306z 一 630y 一 630. 

2. (马克 思 ) 有 30 个 人 ,其 中 有 男人 ,女人 和 小 孩 ,在 一 家 饭馆 里 花 了 50 先 
令 .每 个 男人 花 3 先 令 , 每 个 女人 花 2 先 令 , 每 个 小 孩 花 1 先 令 . 那么 请 问 : 男 
人 、 女 人 .小 孩 各 有 几 人 ? 


1.3 素数 . 取 整 郴 数 


1.3.1 素数 .算术 基本 定理 


定义 1.5 设 pE2Z,p 宇 2. 如 果 p 的 正 因数 只 有 1 和 pp, 则 称 p 为 素数 , 否 
则 称 为 合 数 . 

若 素数 p 是 正 整 数 a 的 因数 , 则 称 p 为 a 的 素 因数 . 

定理 1.14 设 a€Z,a 记 1,p 是 a 的 大 于 1 的 最 小 正 因数 , 则 p 是 素数 ; 当 


1.3 素数 、 取 整 函数 《> 
a 是 合 数 时 ,有 p 二 Va. 


证 若 p 不 是 素数 , 则 有 p 有 真 因数 pi, 满 足 1 二 pi 一 p. 因 pla, 得 pila， 
这 与 p 是 a 的 大 于 1 的 最 小 正 因数 矛 盾 , 所 以 p 是 素数 ; 当 a 是 合 数 时 ,a= 
pais pup pa =a, 所 以 p<Va. 

例 1.6 因为 97 的 最 小 正 因数 只 可 能 是 2,3,5,7, 但 它们 都 不 整除 97, 所 以 
97 是 素数 . 

定理 1.15 设 cEZ, 是 素数 , 则 必 有 pla 或 (p,a)==1. 

证 因 p 是 素数 ,由 (p,a)1p, 得 (p,a)= 二 pp 或 (p,a)= 二 1, 注 意 到 (p,a)|a, 即 
pla 或 (p,a)=1. 

推论 1.6 设 p 是 素数 ,plaias…ai,; 则 pp 整除 某 一 a;(i==1,2,*…,k). 

证 若 p 不 整除 a;(i==1,2,…,k), 则 (ps,ai)= 二 1, 由 推论 1.4 得 

(paiaz…ai) 一 1， 
这 与 力 |aiaz ax 矛盾 

例 1.7 车 (a,6)==1,alc,ble, 则 able. 

证 由 alc,blc 得 c==a :a==b: cs, 故 blaci. 但 (4,5)==1, 故 be, 从 而 ci 二 
b。cs, 于 是 c= 二 ab， ccs, 因此 ablc. 

定理 1. 16( 算 术 基 本 定理 ) 每 一 个 大 于 1 的 整数 a 都 可 以 唯一 的 分 解 为 
素数 的 乘积 , 即 a 二 pi pa…p;, 其 中 pi;(i 二 1,2,…,s) 是 素数 ,pi 寺 ps 二 … 二 pp,. 

唯一 性 是 指 : 若 还 有 分 解 a= 二 giq2*…gi,q1 二 qs 三 … 达 gi,qi(i 二 1,2,…,1) 为 
素数 , 则 s=1,g;==p;. 

“证 ”对 a 用 数学 归纳 法 . 当 4a=2 时 ,a 已 是 素数 ,结论 成 立 . 

假定 结论 对 于 小 于 a 的 整数 成 立 , 考 查 a. 车 a 是 素数 ,结论 已 成 立 ; 若 是 
合 数 , 则 a=bc,1 二 b<a,1<c<a, 由 归纳 假定 ,b,c 可 写成 素数 的 乘积 , 合 起 来 再 
从 小 到 大 排列 ,a 就 写成 了 素数 的 乘积 . 

下 面 证 明 唯一 性 . 

车 a 二 pip2a*…p; 二 q1q2…gqisPi119192…q1， 因 此 pi| 某 一 gq;,qi|pi1ps…p;, 因 
此 qi| 某 一 pj ,pi 二 pj; 二 qn 和 gq; 二 达 二 思 庆 po…ps 二 qa…gi. 由 归纳 假定 得 ， 
=pini=2, ,ts 一 1=t 一 1, 因 此 ,s=t,qg;:==pisi=1,2,**,t. 

设 a==ph pg…ps ,其 中 p;(i 二 1,2,…,s) 是 素数 ,pi 二 ps 二 … 过 p,.a; 宇 0， 
则 称 此 形式 为 a 的 标准 分 解 式 . 

一 般 地 ,如 果 a 二 ph pg…ps ,0 二 ph pg…ps , 则 

















(a,b)=php¥…pr， 其 中 7; 二 min{ai,B); 
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[a.0]==prp2…p%s， 其 中 6; 二 max(a;,B). 


例 1.8 24 王 8X3 王 22X3X5",90 一 2X32X5 一 2X32X5, 故 
(24,90) 一 2X3 王 6， [24,90] 王 22 X32X5 一 360. 
例 1.9 找 30 以 内 的 素数 . 
解 ” 先 将 1 到 30 的 正 整数 从 小 到 大 顺序 排列 : 
下 
Ni U1 
氏 忠 呈 六 记 六 27 交加 1 


1 不 是 素数 ,去 掉 . 剩 下 的 数 中 2 是 素数 ,去 掉 2 的 倍数 ,2 后 面 余 下 的 第 一 
个 数 3 是 素数 ,去 掉 3 的 倍数 ,3 后 面 余下 的 第 一 个 数 5 是 素数 ,去 掉 5 的 倍数 ， 
因为 小 于 V30 的 最 大 素数 是 5, 而 小 于 30 的 数 车 有 真 因数 , 则 最 小 正 因数 不 会 
超过 5, 故 余下 的 全 为 素数 . 求 出 的 素数 为 2,3,5,7,11,13,17,19,23,29. 这 种 方 
法 称 为 幼 拉 托 斯 展 那 得 法 . 

定理 1.17 素数 个 数 为 无 穷 多 . 

证 假设 素数 个 数 有 限 , 设 为 pi ,ps，… ,pr. 令 N= 二 pipo…ps 十 1, 则 pi 不 
整除 N (i==1,2,…,n). 

由 定理 1.14,N 的 最 小 正 因数 p 是 素数 , 即 plN, 由 上 式 可 知 p 疾 pi;, 所 以 p 
是 一 个 新 素数 . 矛盾 . 

例 1.10 4h 一 1 型 素数 有 无 穷 多 . 

证 ”假设 4 一 1,4ns 一 1,… ,dn 一 1 是 所 有 4h 一 1 型 素数 , 令 

N=4(4m—1)(4ns—1)*…(4n,—1)—1. 








注意 到 

a 4h+l 4h—l1 4h 一 1 4h+l 

bp 4htl 4h—1l 4h+1l 4h—1l 

ab 4h+l 4h+1l 4h—1 44—1l 

由 此 可 以 看 出 ,ab 为 4 一 1 型 数 时 至 少 有 一 个 因数 是 4 一 1 型 数 ,因此 N 
必 含 有 一 个 4h 一 1 型 的 新 素 因 数 , 与 假设 只 有 上 个 矛盾 . 


1.3.2 取 整 函数 


定义 1.6 设 z 是 实数 ,[x] 表 示 不 超过 x 的 整数 部 分 , {zt} 表示 工 的 小 数 部 
分 , 即 zxER,z 王 [z] 十 {z} ,0 二 {zx) 过 1,[xj 称 为 取 整 函数 或 高 斯 函数 . 
取 整 函数 的 基本 性 质 : 设 rz,yER, 则 








1.4 同 余 人 


过 EL 

(2) 设 nEZ, 则 [xn 十 x]=n 十 [zx]; 

(3) [zj+[LyJ<[zt+y]; 

(4) [—z] [xj]—1,x¢2Z;[—zx] [zj]j,zEZ; 


(5) 若 wpEZ,O>0, 则 a=b|[ 六 | + 人 人 











(6) 设 a,5E Zt , 则 不 大 于 4a 为 5 的 倍数 的 正 整数 个 数 为 [ols 


证 (5) 由 了 [六 ]+{ 克 }0 < 人 | b S|] ol 


(6) 大 必 一 1,2，…, [全 ] 是 所 有 不 超过 4 为 4 的 信 数 的 整数 ,而 0<6 闻 | 











和 0 一 1, 所 以 一 共有 [ 广 ] 个 不 超过 。 为 5 的 倍数 的 整数 ， 


fe 38 3 8 FR, 


习题 1. 3 


和 


1. 找 出 100 以 内 的 素数 . 
2. 要 判别 89 是 否 为 素数 ,至 少 要 试 除 几 次 ? 
3. 求 [3 十 V2],[ 一 (3 十 V2)]. 


1.4 同 余 


1.4.1 同 余 的 概念 和 性 质 


定义 1.7 设 ac,OEZ.mzEZ+ ,如 果 m| (a 一 5D), 则 说 a 与 5 关于 模 m 同 余 ， 
记 作 a 三 b(modm). 
同 余 有 以 下 的 一 些 性 质 
(1) 车 a1 三 bi (modm) ,as 三 bs; (modm), 则 
ai 土 w 三 所 十 02 (modm); al as=bib: (modm). 
特别 地 , 若 a 三 b(modm), 则 a 三 0b’ (modm) ,ka 三 kb(modm). 
证 ai 夺 bi (modm)Sai—b=ms;az 三 bs (modm) 坊 as 一 bs 二 mt, 于 是 
































(qTazs)— (b+b)=(a mb)+(as—bs)=ms+mt=m(s+t) 


a 二 asbi 二 Tb; (modm); 
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aias—bibs =aias CO—bias Tbias—bibs =(ai 一 bi1)azs 十 b1(as 一 bs), 由 定理 1.2 
得 ,aa 三 请 (modm). 

(2) 设 /(x) 是 一 个 整 系数 多 项 式 ,x+ 三 y(modm), 则 f(x) 夺 f(y)(modm). 

证 设 FGz) 王 az* 十 aiz 1 十 … 十 az 十 ao。 


I= y(modm)>r’ = y' (modm) axr’ = aiy’' (modm) 


之 > aizi 三 Daiy' (modm). 
i=0 i=0 

(3) 若 ad 三 bd(modm), 且 (d,m)= 二 1, 则 a 三 b(modm). 
证 ml(ad—bd)>m| (一 0)d. (dm)=1>ml(a—b) ,Wm ab(modm). 
(4) ab(modm) ,k 天 0, 则 kakb(modkm). 
证 ml(a—b),a—b=mtS>ka—kb=kmt,B kakb(modkm). 
(5) 4b(modm) ,dlm, 则 ab(modd). 
证 明 留 作 习 题 . 
(6) ab (modm) (a,.m)= (b,m). 
证 4 三 b(modm) 字 a 一 6 二 mt 之 a 二 mt 十 b, 由 定理 1.5 得 ,(a,m) 二 (6,m). 
(7) 同 余 关系 是 等 价 关 系 , 即 : 
@ 自 反 性 a 三 a(modm). 
@ 对 称 性 a 三 b (modm) 过 0 三 a (modm). 
@ 传递 性 a 三 b(modm) ,6 三 c(modm) 这 4a 三 c(modm). 
证 明 留 作 习 题 . 


1.4.2 弃 九 法 


弃 九 法 是 一 种 对 加 \ 减 、 乘 结果 的 简便 验算 方法 ,原理 如 下 : 
设 a€EZt+, 则 a=as_i110"! 十 … 十 a110 十 ao ;其 中 a;€10,1,2,…,9}). 由 




















= Mr 
10 三 1(mod9) 坊 10 三 1(mod9) ,于 是 a = >yul10 三 》)a;(mod9). 








i=0 i=0 
2 一 1 
同样 , 若 0 一 名- 10" 一: 十 … 十 记 10 十 bo, 则 0 三 》)6;(mod9), 因此 
过 一 介 7 一 1 mi 
wb = 2 b; (mod9). 
i=0 j=0 


假设 a 二 67890764332223311234567,6b 二 1234567899876871234456973, 有 
人 算出 p= 二 ab 二 83815758342668529677906564499742911950471785791. 但 a 三 
4(mod9) ,6 三 8(mod9) 之 ab 三 5(mod9), 而 p 三 6(mod9), 因 此 计算 有 误 . 

这 种 方法 称 为 弃 九 法 ,之 所 以 称 为 弃 九 法 是 因为 在 检验 时 遇 9 可 弃 之 . 如 


1.5 完全 剩余 系 .简化 剩余 系 人 


a 二 67890764332223311234567 ,6 十 3 二 9, 弃 之 ,7 十 2 二 9, 弃 之 ,…. 
这 种 中 国 上 古老 的 弃 九 法 ,也 是 现代 数据 校 验 思想 的 基础 ,比如 a 二 
r(modm) ,0 二 rr 过 m, 则 7 可 以 看 作 a 的 校 验 值 的 最 简单 形式 . 


Wl a ml 
由 4 二 2》)ai10' 三 》)ai(mod9), 得 4a 一》)a; 三 0(mod9), 即 一 个 数 减 去 
i=0 i=0 i=0 


其 数码 和 必 为 9 的 倍数 .下面 是 一 个 数字 游戏 : Alice 让 Bob 想 一 个 多 位 数 , 然 
后 减 去 其 数码 和 得 到 一 个 多 位 数 , 比 如 是 5 位 数 ,将 其 任意 4 位 的 数码 ,比如 是 
2,3,7,4 告诉 Alice,Alice 依 此 原理 ,可 算出 Bob 留 下 的 数码 是 2. 


RE 28 8 oF FD, 
习题 1. 4 
中 本 琵 琵 丁 号 癌 
1. a 三 b6(modm) ,dlm, 证 明 a 三 b(modd). 
2. 证 明 同 余 关 系 是 等 价 关 系 , 即 
(1) 自 反 性 a 三 a (modm); 
(2) 对 称 性 a 三 b(modm) 过 5 三 a (modm); 
(3) 传递 性 a 三 b(modm) ,6 三 c(modm) 访 a 三 c(modm). 
3. 找 出 错误 的 计算 , a 二 67890764332223311234567,b 二 1234567899876871234456973. 
A. ab=83815758342668529677906564499742911950471785691; 
B. ab=83815758342668529677906564499742911950471786691. 


1.5 ”完全 剩余 系 、 简 化 剩余 系 
1.5.1 剩余 类 、 完 全 剩余 系 


定义 1.8 设 nEZ,n 宇 2, 记 [0]=={kn|kEZ }),[1]={knt+1|kELZ )，…， 
[一 1]=={kn 十 n 一 11kEZ }), 称 {[0j],[1],…;,[n 一 1j) 为 模 的 剩余 类 ;从 每 类 
中 取 一 个 数 作成 的 集合 , 称 为 模 的 一 个 完全 剩余 系 ;{0,1,2,…,n 一 1) 称 为 模 
n 的 最 小 非 负 完全 剩余 系 . 

模 ”的 完全 剩余 系 的 特点 : 有 个 数 ; 加 这 个 数 对 模 n 两 两 不 同 余 . 

在 下 面 的 表述 中 , 用 xz 过 模 m 的 一 个 完全 剩余 系 表示 x 遍历 了 模 m 的 一 
个 完全 剩余 系 {xi ,zs，… ,zx } 的 值 .例如 ,xz 过 模 4 的 一 个 完全 剩余 系 表示 x 遍 
历 了 模 4 的 一 个 完全 剩余 系 , 可 以 是 {0,1,2,3}, 也 可 以 是 {4, 一 3,2,7} 等 . 

定理 1.18 设 (a,m) 二 1,6EZV, 若 xz 过 模 m 的 一 个 完全 剩 余 系 , 则 axi 十 b 
也 过 模 m 的 一 个 完全 剩余 系 . 这 就 是 说 ,着 {zi ,zs，… ,zw) 是 m 的 一 个 完全 剩 
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余 系 , 则 {azi 十 ,azs 十 0,… ,azn 十 四 也 是 mm 的 一 个 完全 剩余 系 . 

证 axri 十 byazzs 十 b,…,azrm 十 b 是 m 个 数 .如 果 ar 十 0 二 az 十 0Cmod7) 之 
7 [az 十 0 一 (az 十 0 之 克 |a( 一 司 ) 而 (7) 一 1 之 略 | (zi— zj) 
Zzj(modm). 所 以 这 m 个 数 对 模 m 两 两 不 同 余 , 故 也 是 模 mm 的 一 个 完全 剩余 系 . 

定理 1.19 Gm ,ms) 二 1,xi 过 模 mm 的 一 个 完全 剩余 系 ,xs 过 模 ms 的 一 
个 完全 番 余 系 , 则 mzxzi 十 muzxs 过 模 mims 的 完全 剩余 系 . 

证 mzzi 十 mzxs 共 取 得 了 mmz 个 数 . 如 果 mzzi 十 mizs 三 mzxi 十 


/ 
mz (modmms ) , 则 




















2 / / E / / 
mz zi tm zs mz tmz modm) ,72271 十 72172 =7271 十 72172(mod72 ) ， 
/ = 
即 mzX1=mzr1 (modm rr (modnm ); 
了 六 
mizs mz (modm; )S zx (modm, ). 


故 这 mm 个 数 对 模 m1ms 两 两 不 同 余 . 
1.5.2 欧 拉 函数 .简化 剩余 系 


定义 1.9 设 2EZ-,p(2) 表 示 不 超过 ?7 的 正 整数 中 与 2 互 素 的 数 的 个 数 . 
9(n) 称 为 n 的 欧 拉 函 数 . 

例 1.11 pg(1)==1,9(2)=1,9(3) 二 2,9(4) 二 2,g(5) 一 4,g(6) 二 2; 若 p 是 
素数 , 则 pg(p)==p 一 1. 模 10 的 完全 剩余 系 {0,1,2,…,9} 中 ,1,3,7,9 与 10 互 
素 , 故 pg(10)=4. 

定义 1.10 模 的 完全 剩余 系 中 与 m 互 素 的 数组 成 的 集合 , 称 为 模 mm 的 
一 个 简化 剩余 系 . 

要 证 明 {xi ,xs，… ,zi) 是 模 m 的 一 个 简化 剩余 系 , 需 要 证 明 : 

(1) k=90n); 

(2) (xi,m)=1; 

(3) Xxi1 Ts，… ,Th 对 模 两 两 不 同 余 . 

定理 1.20 (a,m)=1, (LD ;是 模 m 的 一 个 简化 剩余 系 , 则 
{fazivazz，… ,azgm ) 也 是 模 m 的 一 个 简化 剩余 系 . 

证 由 定义 1.10 后 的 说 明 , 只 须 证 明 {aziyazz,，…'azerom } 满 足 条 件 (1) 一 
条 件 (3). 

(1) aziyazrz，azem 是 plm) 个 数 ; 

(2) 因 (z;,m)= 二 1,(a,m) 二 1, 由 推论 1.5 得 (ax;,m)= 二 1; 

(3) 着 azx; 三 axj (modm) ,因为 (a,m) 二 1, 消 去 4, 得 x; 三 zj (modm), 故 工 1， 
zz ,zsm 模 7 两 两 不 同 余 . 
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1.5.3 欧 拉 定理 、 费 马 定理 


定理 1.21( 欧 拉 定 理 ) 设 cEZ,mEZ+, 如 果 (a,z) 一 1, 则 ar 三 
1(modm) ,其 中 glmm) 为 m 的 欧 拉 函数 . 

证 设 {zi ,zs，… ,zgow}) 是 模 m 的 简化 剩余 系 ,而 (a,m) 二 1, 由 定理 1.20 
得 {axi ,axs，… ,azxgm} 也 是 模 m 的 简化 剩余 系 , 因 此 

aTiaz2 arnm TT" Tm (modm), 

由 (ziym) 二 1, 得 (zixz*…zgom sm) 王 1, 消去 Xi1Xz2…xxm ,得 a”"” 三 1(modm). 

推论 1.7( 费 马 定理 ) 若 cEZ, 是 素数 , 则 a? 寺 a(modp). 

证 若 (a,p)= 二 1, 由 欧 拉 定理 得 a”? 三 1(modp), 两 边 乘 以 a, 得 a? 二 
a(modp); 

若 (a,p) 了 1, 而 p 为 素数 ,这 时 必 有 pla, 当 然 满足 a? 三 a(modp). 

满足 a”!=1 (modm) 的 数 mm 可 能 是 素数 ,也 可 能 是 合 数 ,使 得 a”! 二 
1Cmodm) 的 合 数 m 称 为 伪 素 数 . 

下 面 讨 论 欧 拉 函 数 的 计算 法 则 . 为 了 表述 简洁 ,用 xz 过 模 m 的 一 个 简化 剩 
余 系 表示 Z 取得 了 模 m 的 一 个 简化 剩余 系 {zi ,x ，… ,zpom ) 的 值 . 

定理 1.22 (mm ,zz) 王 1,z 过 模 mi 的 一 个 简化 剩余 系 ,xs 过 模 mm, 的 一 
个 简化 剩余 系 , 则 mz 十 mxzs 过 模 mms 的 简化 剩余 系 . 

“证 ”要 证 明 mszi 十 zazs 过 模 mm 的 简化 剩余 系 , 由 定义 1. 10 后 的 说 明 ， 

只 须 证 明 它 满足 条 件 (1) 一 条 件 (3). 

(3) 因 简 化 剩余 系 是 完全 剩余 系 的 部 分 ,由 定理 1. 19 知 mzzi 十 mzxs 关于 
模 mims 两 两 不 同 余 . 

(2) zi 过 模 ma 的 简化 剩余 系 坟 (zi ,mm) 二 1;xs 过 模 ms 的 简化 剩余 系 和 > 
(za ,172 ) 一 1. mm)=1 mm)=1 mtmzr mm)=1; 

同 理 , (mazzi 十 ziza ymm2) 二 1 ;从 而 Gnzxi 十 mxz smimz)= 二 1. 

(1) 模 mms 的 简化 剩余 系 是 模 xmazz 的 完全 剩余 系 中 与 模 xn zzz 互 素 的 数 . 


车 (mzzi 十 WX2 yt) 一 1 之 (2 十 itzy1i) 一 1 之 (zy ) 一 1 一 


(zl 7) 一 1; 





车 (mzzit+mizzs mmz)=1 (mzitmzr yi2 ) 一 1 之 (iay7z) 一 1 一 
(zz , 712 ) 一 13; 

即 模 aizzs 的 简化 剩余 系 的 p(mazzz ) 个 数 就 是 这 glxm)glms) 个 与 模 wms 
互 素 的 数 . 

推论 1.8 若 (ma ,mmz) 王 1. 则 pmmz)=p mm )P(C722 ) . 
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引 理 1.2 设 p 是 素数 , 则 pg(p*)==p* 一 p” 1!. 
证 不 超过 pr 的 数 总 共 p" 个 ,其 中 与 p 不 互 素 的 数 就 是 p 的 倍数 的 个 数 ， 


由 取 整 函数 的 基本 性 质 (6), 其 中 p 的 信 数 的 个 数 为 [如 ]=p”, 所 以 pg(p") = 
B= 
定理 1.23 设 4a= 六 训 … 蕊 ,其 中 pi (i 二 1,2,…,k) 是 素数 , 则 g(a)= 


人 区 
hi Db: be 
“证 因为 ;7 时 (pr ,py ) 二 1, 故 
ya) =9 pr pr pr) = pr 9 pr ) ep pr ). 
由 引 理 1.2 得 
pO) =p pr ppE) GP) = pr pr pp pe pe), 


= 六 如 … 记 (1 一 十 ]( 一 二 )…( 汪 二) 
"msl 


例 1.12 今天 是 星期 一 ,再 过 3” 天 是 星期 几 ? 

解 (3,7)==1,9(7)= 二 6 过 3 三 1(mod7). 由 10 三 4(mod6) 过 10 三 4(mod6) 
过 10" 三 4(mod6) 过 10 二 6k 十 4. 再 由 3 三 1(mod7) 二 3%” 
3! 三 4(mod7). 而 今天 是 星期 一 ,所 以 再 过 3 天 是 星期 五 . 

定理 1.24 设 (a,m)= 二 1, 则 存在 65€EZ, 使 得 ba 三 1(modm), 这 时 称 b 为 a 
对 模 m 的 逆 , 在 模 mm 的 同 余 式 中 记 为 a . 

证 因 (a,m) 二 1, 故 存在 整数 ,1, 使 得 sa 十 tm 二 1, 因 此 sa 三 1(modm). 取 
05 一 5 即 可 . 

下 面 讨论 a 对 模 m 的 逆 的 求法 . 

ax 三 1(modm) 等 价 于 ax 一 1==mt, 即 ax 一 mt 二 1, 这 是 一 个 二 元 一 次 不 定 方 
程 ,由 (a,m) 二 1, 知 它 有 解 , 即 可 以 用 二 元 一 次 不 定 方程 的 方法 求 x. 

也 可 以 利用 欧 拉 定理 a*” 三 1(modm), 则 a 对 模 m 的 道 为 a*™ 7! (modm). 

注 只 有 在 (4a,m) 二 1 时 ,a 对 模 m 的 逆 才 存在 . 


dF FS, 


习题 1.53 
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i; 证明 61 一 
2. 下 列 中 哪些 是 模 6 的 完全 剩余 系 ? (多 选 ) 


1.6 经 典 密码 人 


有 Bi T8341 
C017253745 D, 15%3y4s B56 7 
B.S 
3. 模 26 的 完全 剩余 系 中 ,哪些 元 可 北 ? 找 出 3 的 逆 元 . 
4. 计算 (41),p(27); 9(2)p(6) 和 Pp(3)p(4) 哪 一 个 等 于 p(12)7 
5. 求解 19x 三 1(mod37). 
6. 下 列 中 哪些 是 模 14 的 简化 剩余 系 ? (多 选 ) 
i BB L570 
人 县 .3 
B. 2 
7. 设 p 是 素数 ,di,d,,… ,di 是 pr 的 所 有 不 同 正 因数 ,证 明 
pA pd) pd ) = 
1.6 经 典 密码 


密码 分 为 经 典 密码 和 现代 密码 . 未 加 密 的 消息 称 为 明文 (plaintext) 或 原文 ， 
加 密 后 称 为 密 文 (ciphertext) ;从 明文 变 为 密 文 的 算法 称 为 加 密 (encryption) , 通 
常用 EE(m) 表 示 对 m 进行 加 密 ; 把 密 文 变 为 明文 的 算法 称 为 解密 (decryption)， 
通常 用 D(C) 表 示 对 C 进行 解密 ;在 不 同 的 密码 学 文献 中 ,密码 系统 也 称 为 密码 
体制 .密码 方案 与 密码 算法 ; 密 钥 集合 也 称 为 密 钥 空 间 等 . 

经 典 密码 主要 使 用 代 换 或 者 置换 . 代 换 是 将 明文 字母 替换 成 其 他 字母 或 符 
号 ;置换 是 保持 明文 的 字母 不 变 , 只 打 乱 字母 的 位 置 ; 代 换 又 分 为 单字 母 代 换 和 
多 字母 代 换 . 

设 训 二 Gno ,7 oms1) 和 C=(co yc,… ,cs_1) 分 别 表示 含 ; 个 字母 的 明文 
字母 表 和 密 文字 母 表 , 简 记 为 二 mooma…m-1 和 C=co c…cs-1. 如果 /为 一 种 
代 换 ,那么 密 文 为 C=ECm)==coci**csi1= 二 fCmo)f Cn) f (m1). 

经 典 密码 通常 将 字母 和 数字 按 下 列 方式 对 应 : 


























和 
O16 7 9 W1121314 151 17 181920 2122232 5 
1.6.1 恺 撒 密码 


恺 撤 密码 (Caesar) 又 称 为 移 位 密码 . 如 果 用 (1 二 25) 表 示 移 位 数 , 则 已 
撒 密 码 算法 为 ; 
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加 密 : c;== 


E(m;)=m;T+k(mod26); 


解密 : m; 二 =D(c;) 夺 ci; 一 k(mod26). 
结果 取 模 26 的 最 小 非 负 完全 剩余 系 . 


例如 , 设 密 


码 为 e, 对 应 4, 明 文 flower. 


加 密 : 将 每 个 字母 对 应 的 数字 加 4, 再 对 模 26 求 余 ,得 到 密 文 jpsaiv; 

解密 : 将 每 个 字母 对 应 的 数字 减 4, 再 对 模 26 求 余 . 

已 撒 密码 的 安全 性 : 对 密码 的 分 析 是 基于 Kerckhoff 假设 , 即 攻击 者 知道 是 
使 用 恺 撒 密 码 加密 . 如 果 知 道 密 文 ,只 要 穷 举 所 有 可 能 字母 移 位 的 距离 ,最 多 尝 
试 25 次 ;如 果 知 道 一 个 字符 以 及 它 对 应 的 密 文 ,那么 可 通过 明文 字符 和 对 应 的 
密 文字 符 之 间 的 距离 推出 密 钥 ; 这 说 明 一 个 安全 的 密码 体制 至 少 要 能 够 抵抗 穷 
举 密 钥 搜索 攻击 ,普通 的 做 法 是 将 密 钥 空 间 变 得 足够 大 . 但 是 ,很 大 的 密 钥 空间 
也 不 能 保证 密码 系统 的 安全 . 

若 对 恺 撒 密 码 进行 改进 ,假设 密 文 是 26 个 字母 的 任意 代 换 ,总 共有 261 过 


4X10” 种 密 钥 


,用 穷 举 搜索 这 么 多 的 密 钥 确实 很 困难 ,但 这 并 不 表示 该 密码 不 


容易 破解 . 破解 这 类 密码 的 突破 点 在 于 利用 语言 本 身 的 特点 , 即 在 常用 单词 拼写 


中 各 个 字母 使 





和 的 频率 不 相等 . 这 种 代 换 并 没有 改变 字母 相对 出 现 的 频率 ,明文 


字母 的 统计 特性 在 密 文中 能 够 反映 出 来 , 当 通 过 统计 密 文字 母 的 出 现 频率 ,可 以 
确定 明文 字母 和 密 文字 母 之 间 的 对 应 关系 . 
单字 母 出 现 频率 如 图 1-1 所 示 ,频率 的 大 小 可 以 分 为 下 面 5 类 ， 





(1) e: 出 


现 的 频率 为 0.1225; 


(2) tayo,i'n's'r: 出 现 的 频率 在 0.06 一 0. 095 之 间 ; 
12.25 
9.41 
8.19 726 os 
7.1 i 
7.06 636 
4.57 
2.26 2.89 2.58 
1.47 


AB 


171 1.59 1.58 





CDEFGHIJKLMNOPQRSTUVWXYZ 


图 1-1 英文 字母 中 出 现 的 频率 /% 


1.6 经 典 密码 


(3) d,h,1: 出 现 的 频率 在 0. 04 一 0. 05 之 间 ; 

(4) cyuymyw,f,g,y,p:b: 出 现 的 频率 在 0.015 一 0. 028 之 间 ; 

(5) v,k,j,x'q'z: 出 现 的 频率 小 于 0. 01. 

双 字 母 和 三 字母 组 合 都 有 现成 的 统计 数据 ,常见 的 双 字 母 组 合 和 三 字母 组 
合 统计 表 能 够 帮助 破解 密 文 . 

频率 最 高 的 30 个 双 字母 如 下 (按照 频率 从 大 到 小 排列 ) : 

th he in er an re ed on es st en at to nt ha nd ou ea ng as or tiis et it ar te 
se hi ol. 

频率 最 高 的 20 个 3 字母 如 下 (按照 频率 从 大 到 小 排列 ): 

the ing and her ere ent tha nth was eth for dth hat she ion int his sth 
ers ver 

破解 首先 统计 密 文中 字母 出 现 的 频率 ,然后 与 英文 字母 出 现 频率 比较 . 例如 
出 现 频率 最 高 的 可 能 是 e't, 再 看 密 文中 出 现 频率 很 低 的 几 个 字母 , 先 由 出 现 频 
率 确 定 部 分 字母 和 字母 组 合 ,就 这 样 边 试 边 改 , 最 后 得 到 明文 . 一般 对 长 一 点 的 
密 文 反而 破解 更 快 . 


1.6.2 仿 射 密码 


由 定理 1. 18 , 若 (a,z) 王 1,z 过 模 n 的 完全 剩余 系 , 则 az 十 2 也 过 模 的 完 
全 剩余 系 . 可 以 得 到 仿 射 密码 . 

仿 射 密码 密 钥 a,b 的 选择 : (a,n)= 二 1,0 过 6 二 n, 通 常 取 n==26. 

加 密 : c= 二 EGm;) 二 (am; 十 0)(modn) ;这 里 m; 是 第 i 个 明文 字母 对 应 的 数字 . 

解密 : m; 二 D(Cc;)= 二 a71(c 一 b)(modn) ,这 里 a7! 表示 a 对 模 的 首 . 

例如 , 取 a==3,5 二 5, 明 文 flower, 加 密 算法 是 

c=E(m;)= (3m;+5)(mod26); 
f=5,3X5+5=2050,.l>11,3X1+5=38—，>12->m,my 

算出 密 文 为 umvtre. 

解密 时 将 密 文 减 5 再 乘 a 的 着 ,再 对 模 26 求 余 . 

注 当 a=1 时 , 变 为 移 位 密码 ; 当 4 二 0 时 , 变 为 乘法 密码 . 

仿 射 密码 中 的 密 钥 空 间 的 大 小 为 np(n), 当 为 26 个 字母 时 ,gp(26) 二 12， 
因此 仿 射 密码 的 密 钥 空间 为 12X26 二 312. 

仿 射 密码 是 单字 代 换 中 的 单 表 代 换 密码 . 

用 单 表 代 换 密码 加 密 后 的 密 文具 有 明文 字母 频率 的 特征 ,多 表 代 换 密码 和 
多 字母 代 换 密码 能 够 减少 这 种 明文 字母 频率 的 特征 , 它 对 每 个 明文 字母 信息 采 
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不 同 的 单 表 代 换 . 
如 果 明 文字 母 序列 为 区 二 mams…, 令 /二 用 f;… 为 代 换 序列 , 则 对 应 的 密 
文字 母 序列 为 

















C=E(m)= fi (Cm) fm2)*. 
代 换 序列 有 周期 序列 和 非 周 期 无 限 序 列 , 分 别称 为 周期 多 表 代 换 密码 和 非 
周期 多 表 代 换 密码 . 周期 的 更 方便 一 些 , 而 非 周 期 的 安全 性 更 高 一 些 . 


1.6.3 维 吉 尼 亚 密码 


维 吉 尼 亚 (Vigenere) 密 码 是 一 种 周期 多 表 代 换 密码 ,最早 出现 于 1553 年 , 维 吉 
尼 亚 密码 常常 使 用 英文 单词 作为 密 钥 字 , 密 钥 则 是 密 钥 字 的 重复 .加 密 方法 为 : 以 
明文 和 密 钥 字 母 对 应 的 数字 相 加 ,再 对 模 26 取 余 , 当 密 钥 取 完 ,又 从 头 开始 取 ，. 

例如 ,密码 为 fox, 明 文 为 flower， 

{十 {一 5 十 5 二 10 一 k; 1] 十 o~11 十 14 王 25 一 z; 0 十 x 下 14 十 23 三 11 一 ]; 

Ww 二 {>22 十 5 二 1>b; ee 十 o 一 4 十 14 王 18 一 S; IT 十 x~17 十 23 王 14 一 o， 
密 文 为 kzlbso. 

解密 方法 为 k 一 全 ~10 一 5 一 5 一 {, 等 . 

维 吉 尼 亚 密码 的 安全 性 分 析 : 维 吉 尼 亚 密 码 是 将 每 个 明文 字母 映射 为 几 个 
密 文字 母 , 如 果 密 钥 字 的 长 度 是 m, 明 文中 的 一 个 字母 能 够 映射 成 这 m 个 可 能 
的 字母 中 的 一 个 ; 密 文中 字母 出 现 的 频率 被 隐蔽 了 , 它 的 安全 性 明显 比 单 表 代 换 
密码 提高 了 ; 维 吉 尼 亚 密码 的 密 钥 空间 比较 大 ,对 于 长 度 是 闷 的 密 钥 字 , 密 钥 空 
间 为 26”; 当 mm 二 5, 密 钥 空间 所 含 密 钥 的 数量 大 于 1.1X10"7. 维 吉 尼 亚 密码 在 19 
世纪 中 叶 被 攻破 . 


1.6.4 费 尔 南 密码 


费 尔 南 (Vernam) 密 码 假定 明文 m 用 位 的 0,1 串 表 示 , 密 钥 k 也 是 0,1 
串 . 设 
11 一 7121722 712a 9 类 一 RiR2…R msk;E{01}, 1 一 1, 2 ,7 一 1,2，… 5 

C=E(m)=ac2c,, cmi;t+hki(mod2), i=1,2,°,n. 

当 ,s 不 相等 时 ,小 的 又 从 头 开始 取 值 .例如 ,车 ==8,s==5, 则 ke 二 ki ,kr 
kz Rs 一 Ra 

不 难看 出 , 若 已 知 密 钥 & 对 应 的 明文 和 密 文 , 则 费 尔 南 密码 便 被 攻破 . 若 费 
尔 南 密码 使 用 的 是 不 重复 的 密 钥 &, 则 这 样 的 密码 称 为 一 次 一 密 . 

一 次 一 密 是 非 周 期 多 表 代 换 密码 ,并 且 该 密 钥 使 用 一 次 后 就 不 再 使 用 . 比 
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如 ,使 用 与 明文 一 样 长 且 无 重复 的 随机 密 钥 来 加 密 明 文 , 逐 位 计算 这 两 个 串 的 异 
或 值 ,结果 得 到 的 密 文 不 可 能 被 破解 ,因为 即使 有 了 足够 数量 的 密 文 样本 ,每 个 
字符 的 出 现 概率 都 是 相等 的 ,每 任意 个 字母 组 合 出 现 的 概率 也 是 相等 的 .一 次 一 
密 的 安全 性 是 取决 于 密 钥 的 随机 性 ;不 但 产生 大 规模 随机 密 钥 不 容易 实现 ,而 且 
密 钥 在 传递 和 分 发 上 也 存在 很 大 困难 . 

前 面 介绍 的 密码 都 是 以 单字 母 作为 代 换 对 象 . 多 字母 代 换 密码 每 次 对 多 个 
字母 进行 代 换 ,容易 隐藏 字母 的 自然 出 现 频 率 , 有 利于 对 抗 统计 分 析 . 


1.6.5 普 莱 费 尔 密 码 


普 菜 费 尔 (Playfair) 密 码 是 将 明文 中 双 字 母音 节 作为 一 个 代 换 单元 ,是 多 字 
母 代 换 密码 . 

算法 是 基于 一 个 由 密 钥 组 成 的 一 个 5X5 和 矩阵 ;假设 密 钥 是 monarchy, 构 建 
矩阵 的 方法 是 将 密 钥 ( 去 掉 重 复 的 字母 ) 从 左 到 右 \, 从 上 到 下 填 和 矩阵 中 ,再 将 番 
余 的 字母 按照 字母 表 除 去 密 钥 中 的 字母 ,顺序 依次 填 和 人 .在 该 矩阵 中 ,字母 ?和 
j 暂且 当 一 个 字母 . 这 样 可 以 构成 如 下 的 密 钥 和 矩阵， 
































普 莱 费 尔 的 加 密 方法 ,每 次 以 两 个 字母 为 一 个 单位 进行 操作 : 

(1) 如 果 这 两 个 字母 一 样 , 则 在 中 间 搬 入 一 个 字母 x( 事 先 约定 ,通常 取 低频 
率 的 一 个 字母 ) ,如 balloon 变 成 ba lx lo on; 

(2) 如 果 明 文 长 度 不 是 2 的 倍数 , 则 在 最 后 填 人 一 个 字母 x 如 table 变 为 ta bl 





(3) 如 果 两 个 字母 在 同一 行 ,用 它 右 边 的 字母 来 代替 ,最 右边 字母 用 左边 第 
一 个 字母 代替 ,如 ar 加 密 变 为 rm; 

(4) 如 果 两 个 字母 在 同一 列 , 用 它 下 面 的 字母 来 代替 ,最 底下 的 字母 用 该 列 
第 一 个 字母 代替 ,如 mu 加 密 变 为 cm; 

(5) 其 他 的 字母 都 用 它 同一 行 , 另 一 个 字母 的 同一 列 相交 的 字母 代替 . 如 ， 
hs 加 密 变 为 bp ,ea 变 为 im 或 jm: 由 加 密 者 决定 . 
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例 1.13 假设 密 钥 是 cipher, 使 用 普 莱 费 尔 算法 加 密 Playfair cipher was 
actually invented by wheatston. 


解 ” 先 由 密 钥 cipher 构建 如 下 的 密 钥 矩阵 : 





























将 明文 按照 两 个 字母 分 组 为 

pl ay fa ir ci ph er wa sa ct ua lx ly in ve nt ed by wh ea ts to nx， 
则 密 文 为 

bs dw rb ca ip he cf ik qb ho gf sp mx ek zc mu hf dx yi if ut ugq lz. 

普 莱 费 尔 密码 的 安全 性 分 析 : 普 莱 费 尔 密码 的 安全 性 比 单 表 代 换 密码 提高 
了 许多 , 双 字 母 共有 26X26 王 676 组 合 ,因此 频率 统计 分 析 表 中 需要 676 条 统计 
数据 ; 普 莱 费 尔 密码 中 比 单 表 代 换 更 好 地 隐藏 了 明文 中 单字 母 的 结构 . 

在 1854 年 到 1855 年 的 克 里 米 亚 战争 和 1899 年 的 布尔 战争 中 , 普 莱 费 尔 密 
码 有 广泛 应 用 ,在 第 一 次 世界 大 战 初 也 被 英 军 使 用 ,但 在 1915 年 的 一 次 战役 中 
被 破译 . 

用 现在 的 分 析 方法 来 看 ,该 密码 含 明 文 的 部 分 特征 ,在 给 定 百 余 字母 密 文 情 
况 下 ,该 密码 就 可 以 破解 . 


1.6.6 希 尔 密码 


和 希 尔 (HilD) 密 码 出 现 于 1929 年 ,也 是 多 字母 代 换 密码 . 它 将 明文 字母 以 mn 个 
字母 为 单位 进行 分 组 , 若 最 后 一 组 没有 m 个 字母 , 则 补足 没有 实际 意义 的 哑 字 母 
(双方 事先 约定 字母 ), 并 用 数字 表示 这 些 字母 ;选择 一 个 mm 阶 可 北方 阵 K, 称 为 
Hill, 密码 的 加 密 和 矩阵. 对 每 mr 个 字母 为 一 组 的 明文 字母 ,用 它 对 应 的 值 构成 一 个 
m 维 列 向 量 M; 加 密 计 算 的 值 B= 二 KM, 青 将 B 的 每 个 分 量 对 模 26 求 余 得 到 密 文 
C; 解 密 计算 Mi 二 K 'C, 青 将 Mi 的 每 个 分 量 对 模 26 求 余 得 到 明文 M. 

例如 m 二 3, 则 该 密码 系统 可 以 表示 为 


Ob ku kz ks 
B= |b; |= | kz Razz kzs 
bs ks ks Rss 


m1 Cl1 
mz | 一 KM， 6c 三 b; (mod26)， C 一 | c | 为 密 文 . 


ms 





C3 
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ki kiz ki 
这 里 天 一 | ea kz。 kzs | 是 可 道 方 阵 ,满足 (|K|,26)= 二 1, 即 |K| 是 模 数 26 
kal Rsz kas 
的 可 逆 元 . 
1.6.7 置换 密码 


代 换 密码 是 将 明文 字母 用 不 同 的 密 文字 母 代替 ;置换 密码 则 保持 明文 的 所 
有 字母 不 变 ,只 是 改变 明文 字母 的 位 置 ,相当 于 把 26 个 字母 重 排 . 置换 密码 比较 
简单 ,经 不 起 已 知 明文 攻击 .但 把 置换 密码 与 代 换 密码 结合 , 却 可 以 得 到 效果 较 
好 的 密码 . 

经 典 密码 一 直 使 用 到 20 世纪 40 年 代 . 第 二 次 世界 大 战 初期 ,德军 方 使 用 
“ 恩 尼 格 玛 "密码 机 后 , 盟 军 对 德军 加 密 的 信息 几 年 都 一 筹 莫 展 ,但 经 过 盟 军 密码 
专家 的 努力 “ 恩 尼 格 玛 ? 密 码 机 被 攻破 , 盟 军 掌握 了 德军 的 机 密 ,而 德军 方 却 不 
知 ,这 对 盟 军 打败 德军 提供 了 有 力 的 支撑 . 太平 洋 战 争 中 ,美军 破译 了 日 本 海军 
的 密码 ,知道 了 海军 司令 发 给 各 指挥 官 的 命令 ,在 中 途 岛 彻 底 击溃 了 日 本 海军 ， 
取得 了 太平 洋 战争 的 决定 性 转折 . 因此 可 以 说 ,密码 学 在 战争 中 起 着 非常 重要 的 
作用 . 经典 密 码 已 被 证 明 是 不 安全 的 . 现代 密码 学 (cryptology) 包 括 密码 编码 学 
(cryptography) 和 密码 分 析 学 (cryptanalysis) ;密码 编码 学 是 研究 加 密 的 原理 与 
方法 ,使 消息 保密 ;密码 分 析 学 则 是 研究 破解 密 文 的 原理 与 方法 . 对 代 换 密码 的 
分 析 可 参看 文献 [1,2]. 





dR 3 He We AED, 
4 习题 1. 6 二 
SE 
1. 用 仿 射 密码 加 密 , 明 文 是 chicken, 密 钥 为 (1,n) , 密 文 为 ; 
2. 用 维 吉 尼 亚 密 码 加 密 , 明 文 是 chicken, 密 钥 为 hen., 密 文 为 3 
3. 用 费 尔 南 密码 加 密 , 明 文 是 区 二 mamxs…zme 二 1001010001110101, 密 钥 
kk 二 kike*…kyo 二 1101001101, 密 文 为 ; 
4. 用 普 莱 费 尔 密 码 加 密 , 明 文 是 chicken, 密 钥 为 henpig, 密 文 为 ; 


5。 用 希 尔 密码 加 密 明 文 til 客人 为 k= 上 7]- 先 写 出 密 文 .下 密 广角 
密 .恢复 明文 . 


第 《2 > 章 
同 余 式 , 原 根 与 公 钥 系统 


如 果 一 个 密码 系统 加 密 和 解密 密 钥 相同 , 则 称 为 对 称 密码 ;如 果 该 系统 加 密 
和 解密 密 钥 不 同 , 则 称 为 非 对 称 密码 , 非 对 称 密 码 系 统 又 称 为 公 钥 密 码 系统 , 简 
称 为 公 钥 系 统 或 公 钥 . 


2.1 背包 公 钥 系统 


2.1.1 背包 问题 


所 谓 背 包 问 题 是 这 样 一 个 问题 : 已 知 长 度 为 5 的 圆柱 型 背包 ,还 有 长 度 分 
别 为 waz ,an 的 n 件 物品 ,这 些 物品 也 是 圆柱 型 并 且 半 径 和 背包 内 半径 相 
同 .要求 从 nn 件 物品 中 选 若 干 个 正好 填 满 背包 . 

这 个 问题 相当 于 求解 x;:€ 10,1) ,ai,bE Vt ,i 二 1,2,…,n, 使 得 

QiXxi 二 asZXz 十 "十 a,x, 二 6. 

背包 问题 是 著名 的 数学 难题 ,至 今 也 没有 有 效 的 求解 方法 , 穷 举 搜索 实际 上 
不 可 能 ,以 n==128 为 例 ,要 搜索 3. 402823669X10” 次 ,以 每 秒 搜索 10’ 次 计算 ， 
需要 1. 079028307 X 102 年 . 

所 谓 超 递增 序列 ci ,a;,… ,a, 是 指 后 面 的 数 比 前 面 数 的 总 和 还 大 , 即 





i=1 

车 nn 元 一 次 背包 不 定 方程 a1xi 十 4azxz 十 … 十 asr, 二 6 的 解 z;E {0,1}, 则 当 
aisazs，"… san 为 超 递增 序列 时 ,有 快速 求解 方法 . 

例 2.1 2,3,7,14,30,57,120,251 是 一 超 递增 序列 ,求解 方程 

2 二 3s 十 7%s 十 144 十 30x5 十 57z6 十 120%7 十 251xs 三 193. 

解 因 251 二 193, 敬 w= 二 0=> Ym 十 3 十 97 十 14 二 30% 二 57+ 
120zx; 一 193; 
因 120<193 , 故 zx 三 1 他 2zi 十 3z 十 7zs 十 14zt 十 30zxzs 十 57ze 一 73; 




















2.1 背包 公 钥 系统 > 


因 57 过 73, 故 x6 二 1 坟 2x1 十 3zz 十 7zs 十 14z4 十 30xs 二 16; 
因 30 二 16 , 故 zs 三 0 人 27 十 3zz 十 7zs 十 14z: 一 16; 
因 14 过 16, 故 rz 三 1 之 2z 十 3zs 十 7z3s 一 2; 进一步 可 得 x 二 x3 二 0 ,zx1 二 1. 

















2.1.2 Merkle-Hellman 背包 公 钥 算法 


1977 年 ,Merkle-Hellman 提出 了 第 一 个 背包 公 钥 系统 . 为 了 描述 简洁 ,把 第 
一 个 计算 的 人 称 为 Alice, 第 二 个 计算 的 人 称 为 Bob, 任 务 是 Alice 要 求 Bob 将 信 
息 mr 加 密 送 回 .算法 如 下 : 

(1) 密 钥 生成 : Alice 找到 超 递增 序列 六 ,六 ,…,b, , 模 m, 乘 数 妈 ,满足 (4,m) 二 
1 ,计算 对 模 mmx 的 道 u 1 ,wbi; 三 a;(modm) (i 二 1,2,…,n) ,将 aa ,a 发 给 
Bob ,这 里 al ,ar ,…,a, 是 公 钥 ,可 以 公开 .01 ,2 ,… ,0 ,7 , 乘 数 wx: 为 私 钥 ,要 

(2) 加 密 : Bob 将 信息 m 转化 为 二 进 制 数 并 分 段 , 每 段 长 度 =n, 设 为 mi， 
Xo TirZiE{0,1) ,计算 aizi 十 aszz 十 十 asxs 二 c, 将 密 文 c 发 给 Alice, 

(3) 解密 : Alice 收 到 密 文 c, 计 算 ui!c 夺 65(modm) ,求解 

pz 十 bzz 十 … 十 Dr 一 0， 
得 到 明文 zi yzz ，…，zn。 
算法 合理 性 分 析 : 
aizl 十 azzz 十 … 十 az 一 cy 
ubizitubzzz tubrrn=c(modm), 
Dixitbzst bru lc(modm), 

当 这 些 数 都 小 于 模 m 时 , 同 余 一 定 相 等 ,因此 bizi 十 boxz 十 … 十 bz 二 
xd ic ,此 方程 系数 是 超 递增 序列 ,可 求 出 明文 zx ,zz ，… zw- 

例 2.2 (1) 密 钥 生成 : Alice 找到 超 递增 序列 (2,3,7,14,30,57,120， 
251) , 取 模 m= 二 491 之 2 十 3 十 7 十 14 十 30 十 57 十 120 十 251 二 484, 乘 数 v 一 41 ,满足 
(41,491) 一 1. 求 41z 三 1(mod491) 的 解 u ! 二 12, 计 算 416; 三 a;(mod491) ,i 二 1， 
2,…,8, 得 到 公 钥 Ca,az,…,as) 一 (82,123,287,83,248, 373, 10,471) ,发 
给 Bob; 

(2) 加 密 : Bob 将 信息 M 转化 为 二 进 制 并 分 段 ,每 段 长 度 =8, 设 明文 为 
M 一 (10010110) ,计算 82 十 83 十 373 十 10 一 548 ,将 密 文 548 发 给 Alice; 

(3) 解密 方法 : Alice 收 到 548 ,计算 12X548 三 193(mod491) ,求解 

2 十 3zz 十 7 十 14z 十 30xs 十 57z 十 120x 十 25lxs 一 193， 
可 得 到 明文 10010110. 
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“2.1.3 沙 米尔 对 背包 公 钥 的 攻击 


背包 公 钥 系统 公布 两 年 后 , 沙 米尔 (Shamir) 给 出 了 一 种 攻击 方法 : 假设 w 
的 二 进 制 表示 都 是 200 比特 ,破解 的 关键 在 于 如 何 找到 一 对 所 谓 陷 门 (v,m) ,使 
得 va; 三 b;(modm) ,i 二 1,2.…… ,ns 车 本 ,bs，…,b, 为 超 递 增 序列 , 便 可 破解 该 密 
码 . 注意 到 超 递 增 序列 的 一 项 大 致 是 前 一 项 的 两 信 , 可 假设 
ry 
由 扩 三 va (modm) ,考查 y 三 a1x(modm), 它 的 图 像 ( 如 图 2-1 所 示 ) 是 斜率 
为 ai 的 小 锯齿 折线 ,所 以 ,wv 必 在 某 区 间 


( 矢 各 + 


， 
Q1 al al 





km<val<km+t+2 "mm SL kt2 5 
Q1 m al 





0 更 2m m x 
a a 


图 2-1 yy 三 ux(modm) 的 图 像 


类 似 地 讨论 5 三 va; (modm) ,可 以 求 出 的 二 是 图 像 y=wzCmodm) 的 极 小 点 
的 聚 点 . 通过 该 方法 可 以 在 多 项 式 计算 时 间 内 算出 w 和 闷 . 


2.2 RSA 公 钥 系统 


RSA 公 钥 系统 算法 是 1977 年 由 Rivest,Shamir 和 Adleman 一 起 提出 来 
的 . RSA 是 被 研究 得 最 广泛 的 公 钥 ,其 算法 简洁 易 懂 , 易 于 实现 ,是 广泛 应 用 的 
优秀 的 公 钥 方案 之 一 ,从 提出 到 现在 经 历 了 各 种 攻击 的 考验 ,只 要 其 密 钥 足够 
长 ,用 RSA 加 密 的 信息 实际 上 是 不 能 被 解 破 的 . 但 在 分 布 式 计算 和 量子 计算 机 
理论 日 趋 成 熟 的 今天 ,RSA 加 密 安全 性 受到 了 挑战 . 


2.2.1 RSA 公 钥 的 算法 
RSA 的 安全 性 是 基于 大 整数 分 解 的 难度 ,加 密 算法 如 下 : 








2.2 RSA 公 铀 系统 人 > 

Alice 要 求 Bob 将 信息 mr 加 密 传送 回 . 

(1) 密 钥 生成 : Alice 找 大 素数 p,qg, 令 n= 二 pq, 取 ce 二 1 满足,(e,p(z)) 一 1， 
再 找 d 使 得 ed 三 1(modg(n)), 然 后 Alice 将 n,e 作为 加 密 密 钥 ( 公 钥 ) 发 送 给 
Bob, 这 里 p,g,d,gp(n) 是 私 钥 ,要 求 保 密 , 解 密 用 . 

(2) 加 密 : Bob 将 明文 m 分 段 使 加 二 n, 计 算 m 硅 C(modn), 并 将 密 文 C 传 
送 给 Alice. 

(3) 解密 : Alice 收 到 后 ,计算 C0? 三 m(modn) ,恢复 明文 m. 


2.2.2 对 RSA 公 钥 算法 的 分 析 


算法 合理 性 分 析 

当 (m%,n) = 二 1 时 ,由 欧 拉 定理 ,m?" 三 1(modn), 故 CC? 二 (mm:)* 三 mm* 三 
Mm? tl=m(modn); 

当 Gn,) 记 1 时 , 因 "一 pg, 不 妨 设 m 一 1q, ,0) 二 1, 于 是 j?”” 二 1(modn), 故 

CN De vmod)s 

由 gr! 三 1(modp) 得 mm 三 jg% ?了 ?421(modn) 三 jg(modp), 故 m= 二 jg 十 tp. 
而 mm 二 (jgq)" 二 (jg)*“ 1jg 二 sq, 故 得 
1p=sgq—jq=(s—j)g>qlt,t=rg>m’" —jg=rgp=rnm’’ jg=m(modn), 
故 C* 硅 m* 三 m(modn), 即 7 与 ”不 互 素 时 也 成 立 . 

可 行 性 分 析 

RSA 的 加 密 解 密 过 程 中 要 计算 mx 三 r(modn), 当 m,e,n 很 大 时 ,直接 计算 
可 能 出 现 耗 时 巨大 和 溢出 ,将 指数 模 运 算 看 做 多 次 重复 乘法 , 当 出 现 大 于 模 时 则 
先 取 模 , 然 后 用 余数 继续 运算 ,可 避免 溢出 同时 显著 提高 运算 效率 . 使 得 加 密 解 
密 可 行 . 

快速 求 m*(modn) 的 基本 思想 就 是 将 e 表 成 2 的 宕 和 . 

便于 程序 设计 的 快速 求 m*(modn) 算 法 : 

(1) uesvemwe1; 

(2) 如 果 ==0, 则 输出 w 为 所 求 的 模 的 余数 ; 

(3) 如 果 2|uyu<(wu/2),v<e(v 。 v)(modn); 

(4) uO—1) ,we(w ，。 v)(modn), 转 (2). 

例 2.3 计算 11’(mod13). 

解 7=1 十 6==1 十 2* 3 二 1 十 2(1 十 2)=1 十 2 十 2”, 

11’=11X11:=11X11 .。 (11:)*=1]1X4X4:=11X4X3=2(mod13); 

采用 上 面 的 程序 算法 就 是 : 
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(1) w=7,v=11,w=1; (2) u=6,v0=11,w=11; 
(3) u=3,v=4,w=11; (4) u=2,v=4,w=5; 
(5) u=1,v=3,w=5; (6) u=0,v=3,w=2. 
这 时 “一 0,zw 王 2 为 所 求 的 模 13 的 余数 . 

安全 性 分 析 


RSA 的 安全 性 是 基于 大 整数 分 解 .但 是 对 RSA 的 攻击 除了 分 解 n 外 ,还 可 
以 通过 试 求 某 数 对 的 指数 等 方法 破解 . 故 RSA 的 安全 性 是 不 超过 大 整数 
分 解 . 

公 钥 算法 的 特点 

(1) 用 加 密 密 钥 PK(public key) 对 明文 m 加 密 后 得 到 密 文 ,再 用 解密 密 钥 
SK(secret key) 对 密 文 解密 , 即 可 恢复 出 明文 m, Dsx (Epx (1m)) 二 ms; 

(2) 加 密 密 钥 不 能 用 来 解密 , 即 Dpx (Epk (12)) 关 mm,Dsx (Esx (mm)) 关 mm; 

(3) 用 SK 加 密 的 信息 只 能 用 PK 解密 ;用 PK 加 密 的 信息 只 能 用 SK 解密 ; 

(4) 从 已 知 的 PK 不 可 能 推导 出 SK; 

(5) 加 密 和 解密 的 运算 可 对 调 : Epx (Dsx (72)) 二 mm. 

满足 (5) 的 公 钥 可 以 用 作 数 字 签 名 . 


dR 8 TF HF FD, 
习题 2.23 
及 大 地 直下 玉江 省 
1. 用 欧 拉 定理 结合 快速 寡 模 运算 求解 9z 三 1(mod37). 
2. 在 RSA 系统 中 ,车 p= 二 11,g= 二 13,a= 二 103. (1) 求 公 钥 ; (2) 求 a 的 逆 元 4 
(3) 若 明文 m= 二 3, 求 密 文 C. 
3. 在 RSA 系统 中 , 若 公 钥 为 2 一 35,a 王 5, 密 文 C==10, 求 明文 mm. 


2.3 一 次 同 余 式 .孙子 定理 
2.3.1 一 次 同 余 式 求解 


设 f(z)=asz" 十 as-i1x"! 十 局 十 ao; 若 aj 关 0(modm), 则 说 f(x) 三 
0(modm) 是 nn 次 同 余 式 . 

对 于 f(z) 三 0(modm) ,车 存在 整数 4a, 使 /(a) 夺 0(modm), 则 说 a 是 f(x) 三 
0Cmodzz) 的 一 个 解 . 

若 a 模 m 不 同 余 0, 则 








2.3 一 次 同 余 式 .孙子 定理 


az=b(modm) (2 
称 为 一 次 同 余 式 . 
(2-1) 式 相当 于 不 定 方程 cz 十 mt 一 2, 因此 (2-1) 式 有 解 后 (am2)10. 
可 用 二 元 一 次 不 定 方 程 的 方法 求解. 
也 可 直接 求解 : 车 ax 三 b(modm) 有 人 解 二 (a,m)165, 故 可 设 4==ai(a,m),b 二 
Dam) ,Mm 二 mi(a,m) ,消去 (a,m) .az 三 b(modm) 可 化 为 aix 三 bi (modm), 且 
(aiym) 二 1, 因 此 ay ™ =1(modm )=>z=ba”" (modm1 ) 为 解 . 


2.3.2 孙子 定理 


中 国 古 代 南 北朝 时 期 的 数学 名 著 ( 孙 子 算 经 ) 中 有 如 下 问题 : 

今 有 其 物 不 只 其 数 ,三 三 数 之 剩 二 ,五 五 数 之 剩 三 ,七 七 数 之 剩 二 , 问 物 几 
何 ?( 答 日 二 十 三 ). 

设 物 数 为 zx, 则 : 


Zz 三 3(mod5), 
ZX 三 2(mod7). 
这 是 一 个 一 次 同 余 式 组 ,孙子 算 经 给 出 了 一 次 同 余 式 组 的 解法 . 
定理 2.1( 孙 子 定理 ) 设 澡 ,mz,… ,mi 两 两 互 素 ,二 ams…m4， 则 同 余 
式 组 


[= mod3)， 


[Bn (modmi ) ， 
z=b, (modm; ) ， 
| . (2-2) 
[= (modzzx ) 
有 唯一 解 为 
z= MiMi+b MMz+t Tb MM (modm), (2-8) 





这 里 M;= 衬 ,M! 是 Mix 二 1(modm) 的 解 ,i 二 1,2,…,k. 


mi 





证 设 z 三 BMiMi 十 6:MIM; 十 … 十 biMiMi (modm), 则 zx 三 b,M'M,; 硅 
bi(modmi;), 故 满足 方程 (2-2). 

设 r,x 是 方程 (2-2) 的 两 个 解 , 则 x 三 b; 硅 x (modm;) ,i 二 1,2,…,k, 故 
milzx 一 x .由 

m1,Mm2 ,mm 两 两 互 素 坟 轴 二 0x | (zx 一 zx), 即 zz (modm). 


孙子 定理 又 称 为 中 国 剩余 定理 . 
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现在 来 解 开始 提出 的 问题 : 
ZX 三 2(mod3) 
ZX 三 3(mod5) 
Xz 三 2(mod7) 


解 因 3,5,7 两 两 互 素 , 故 可 用 孙子 定理 求解 ,mm 一 3X5X7 王 105. 

Mi 二 5X7==35,35x 三 1(mod3) 的 解 为 + 三 2(mod3), 因 此 M1 一 2; 

Mi 二 3X7==21,21x 寺 1(mod5) 的 解 为 x 三 1(mod5), 因 此 M? 一 1; 

Ms 二 3X5 二 15,15x 夺 1(mod7) 的 解 为 x+ 三 1(mod7), 因 此 Ms==1; 
所 以 由 孙子 定理 得 解 为 


ZX 三 2X2X35 十 3X21X1 二 2X15X1 三 23(mod105). 


中 国 古 代数 学 家 把 该 问题 求解 方法 归 为 一 首 诗 : 
三 人 同行 七 十 稀 ， 
五 树 梅花 廿 一 枝 ， 
七 子 团员 整 半月 ， 
除 百 零 五 便 得 知 . 
例 2.4( 韩 信 点 兵 ) 兵 一 队 , 若 列 成 五 行 纵队 , 则 末 行 一 人 ; 若 成 六 行 纵 
队 , 则 末 行 五 人 ; 若 成 七 行 纵 队 , 则 末 行 四 人 ; 若 成 十 一 行 纵 队 , 则 末 行 十 人 . 求 
兵 数 ， 
解 ” 设 兵 数 为 x 人 , 则 有 


Xx 三 1(mod5)， 





ZX 三 5(mod6), 

ZX 三 4(mod7)， 

7X 三 10(mod11). 
令 区 二 5X6X7X11 二 2310, 则 由 孙子 定理 可 得 


M=6X7X11=462,Mi=3; M=5X7X11=385,M;=1; 











M,=5X6X11=830,Ms=1; MM=5X6éX7=210,M,=1, 


从 而 得 解 为 
z=1X462X3+5X385X1+4X330X1+10X210X1=2111(mod2310)， 


所 以 兵 数 为 2111. 
“2.3.3 一 般 同 余 式 的 求解 
设 f(x) 是 一 整 系数 nn 次 多 项 式 , 贡 = 二 mm…ms;， 其 中 .i ,ms ，… ,ms 两 两 互 





2.3 ”一 次 同 余 式 、 孙 子 定理 人 
素 , 则 求解 f(x) 夺 0(modm) ,可 化 为 求解 


f(x)=0(modm;),， i=1,2,.…,k. 

若 /(x) 三 0(modm;) 有 TT; 个 解 Zz 三 br, (modm:) ,每 组 取 一 个 合 起 来 就 是 一 
个 一 次 同 余 式 组 . 可 由 孙子 定理 求解 各 一 次 同 余 式 组 ,这 样 /(x) 夺 0(modm) 共 
有 TT。… 工 个 解 . 

设 m 的 标准 分 解 式 为 p% ps … pr , 则 pm ,px ,… ,pu 两 两 互 素 ,因此 求解 

f(z)=0(modm) 

可 归结 为 求解 

f(x) 三 0(modp”) ,i 二 1,2,…,k, 这 里 p; 是 素数 ,a; 是 正 整 数 . 

而 /(zx) 夺 0(modp") 的 求解 ,就 是 在 /(x) 三 0(modp”!) 的 解 中 求解 .最终 
归结 为 /(x) 三 0(modp) 的 求解 . 

设 p 是 素数 , 则 x? 三 x(modp) 字 zx? 一 x 三 0(modp). 

一 十 Fa 

其 中 9(r(x)) 三 p 一 1 或 者 x(x) 二 0, 这 里 9(r(x)) 表 示 r(x) 的 次 数 . 这样 f(x) 三 
0(modp) 的 求解 可 转化 为 一 个 次 数 低 于 p 的 同 余 式 r(z) 志 0(modp) 的 求解 . 

定理 2.2 设 x 三 a(modp) 是 f(z) 三 0(modp) 的 一 个 解 , 则 

f(z)=(x—a)fi(x)(modp). 

证 设 f(z)=(zx 一 a)fi(z) 十 r, 其 中 3a(fi1(z))=3(f(z)) 一 1. 将 x 一 a= 
0C(modp) 代 入 ,得 7 三 0(modp), 所 以 f(z) 三 (x 一 a) fi(x)(modp). 

这 个 结论 可 推广 到 kp 一 1 的 情形 : 若 x 二 a; (modp) (i 二 1,2,…,k) 是 
f(x) 三 0(modp) 的 解 , 则 

f(r)=(z—a) (zr—a) (za) frr) (modp). 

也 就 是 说 , 同 余 式 的 解数 不 会 超过 同 余 式 的 次 数 . 

定理 2.3 设 F(z) 王 妃 十 -ixz 1 十 … 十 ao 小 于 素数 p. 而 x? 一 x= 二 
f(x)g(z) 十 r(z), 则 f(x) 三 0(modp) 有 nn 个 解 命 r(x) 的 系数 全 是 p 的 信和 数 . 

证 “一 ” 若 /(x) 三 0(modp) 有 nn 个 解 x;(i==1,2,*…,n) 地 r(x) 三 0(modp) 
而 9(r(x)) 达 pp 之 r(x) 的 系数 全 是 p 的 倍数 . 

“=” 车 r(x) 的 系数 全 是 p 的 信 数 ,9(f(x))==n,9(g(x))==p 一 n， 

zx? 一 ZX 三 (x)g(zx) 过 f(x)g(zx) 三 0(modp) 有 个 解 

之/(x) 三 0(modp) 有 个 解 . 
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Ca 


习题 2.35 


Se ee ee 
1. 求解 3z 三 10(mod29). 
2. 求解 同 余 式 组 
ZX 三 3(mod5),， 
ZX 三 2(mod6)， 
ZX 三 1(mod7). 
3. 证 明 : 若 za ,sz,…,7x 两 两 互 素 ,m= 二 ym2…m4，, 则 同 余 式 组 
Tr 三 b( modmi ) ， 


X=b(modm, ) , 


= modz2x ) 


的 解 为 + 三 b(modm). 


2.4 二 次 同 余 式 


2.4.1 奇 素数 模 的 二 次 同 余 式 


设 p 为 奇 素数 ,(a,p) 二 1, 考 查 二 次 同 余 式 ax? 十 bx 十 Cc 三 0(modp). 

两 边 乘 以 a, 得 (ax)? 十 hax 十 ca 三 0(modp). 如 果 6b 是 奇数 ,将 上 个 二 次 同 
余 式 两 边 加 上 pax, 则 xz 的 系数 变 为 偶数 (p 十 5)a, 故 不 妨 设 45 为 偶数 .再 在 
(az) 十 baz 十 ca 反 0(modp) 两 边 加 上 一 次 项 系数 一 半 的 平方 ,得 








(az)2 十 ba 二 他] = 人 ! ) cal(modp)， 即 (w+ 二 ) =($) ~eacmodp). 

多] 一 ea, 则 上 个 二 次 同 余 式 化 为 二 dmodp). 还 是 

用 xz 代 蔡 y, 用 4 代替 4d, 则 二 次 同 余 式 的 求解 归结 为 x? 三 a(modp) 的 求解 . 
2.4.2 欧 拉 判别 条 件 


定义 2.1 车 江 二 a(modp) 有 解 , 则 称 a 是 模 jp 的 平方 剩余 ; 若 x? 寺 a(modp) 
无 解 , 则 称 a 是 模 p 的 平方 非 剩 余 . 


令 > 一 az+ 二 4 一 人 





2.4 二 次 同 余 式 > 


定理 2. 4( 欧 拉 判 别 条 件 ) 设 p 是 奇 素数 ,Ca,p) 二 1, 则 ;: 
(1) a 是 模 p 的 平方 剩余 含 a 三 1(modp); 


(2) a 是 模 p 的 平方 非 剩 余 二 o 气 三 一 1(modzp). 
“证 〈1)“ 之 ” 设 三 a(modp) 有 解 zx, (xz,p)= 二 1,x*! 三 1(modp). 而 





与 : eV 1 mod 


“a! =1(modp)aT —1=0(modp). 
Xx=x(xt a)+r(aT —1)>r! —a =0(modp) ， 
pla = ) a =(x? a)g(z). 
因为 xz? 一 + 二 x(x’ 一 a)g(z) 三 0(p) 有 上 p 个 解 ,所 以 x 一 a 三 0(modp) 恰 有 
两 个 解 . 
(2)“ 过 ”车 a 是 模 p 的 平方 非 剩 余 , 因 为 (ea, 思 三 1, 则 
a?-! 一 1 二 0(modp) 坊 (a) 一 1 二 0(modp) 坟 (a 一 1) (a 十 1) 二 0(modp). 
由 (了 ]) 知 a 守 半 1(modp) ,因此 a 所 圭一 1(modp). 
“<=” a = 一 1(modp)>a 关 1(modp) 过 a 是 模 p 的 平方 非 剩 余 . 
“定理 2.5 模 记 的 简化 剩余 系 中 ,平方 剩余 的 个 数 与 平方 非 剩 余 的 个 数 都 
是 |, 且 个 平方 剩余 分 别 与 1?,2，…,[ 2 二 】 中 的 一 个 同 余 , 且 仅 与 一 
个 同 余 . 
证 平方 剩余 的 个 数 是 x 所 一 1 二 0(modp) 的 解数 . 


在 


因为 zi-1: 一 1 一 (z 生 一 1)(z 生 十 1), 故 达 一 z 一 (2 


以 z 导 一 1 三 0Cmodp) 恰 有 于 个 解 ,平方 非 剩余 的 个 数 为 p 一 1 一 2 一 





1)(z 皇 十 1)z, 所 











a i 2 
所 二 又 1,2 (是 】 是 1 个 平方 利 余 且 互 不 同 余 ,事实 上 
jk (modp)S +k) (Ij—E) 0(modp). 


mn | 
2 Ep 











车 j 十 k 夺 0(modp) 坟 j= 二 =p 一 k& 宇 pp 矛盾 . 因此 j 硅 k(modp) 过 j==k. 


一 共 肝 + 个 平方 剩余 ,而 上 ,2，,…, 全】 是 个 互 不 同 余 的 平方 利 余 ， 


所 以 车” 是 平方 剩余 , 则 a 与 且 只 与 ,22,…, (2 】 中 的 一 个 同 余 . 
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“2.4.3 勒 让 德 符号 


欧 拉 判别 条 件 虽 然 给 出 了 平方 剩余 判别 的 充 要 条 件 ,但 是 勒 让 德 
(Legendre) 符 号 使 得 判别 的 计算 更 加 简便 和 快捷 . 

定义 2.2 设 p 是 奇 素数 ,对 一 切 整 数 a, 规 定 
[ a 是 模 p 的 平方 剩余 ， 





一 1，“ 是 模 zp 的 非 平方 剩余 ， 
0， pa， 


称 (和 为 < 对 p 的 勒 让 德 符号 , 
勒 让 德 符号 具有 下 列 一 些 基本 性 质 ; 
4 
Ch (4 j=e (modp). 
证 车 (a,p) 一 1, 由 欧 拉 判 别 条 件 ,有 [各] 二 a 后 Cmodp); 若 pla, 则 
a 扫 三 0(modp) ,上 式 也 成 立 . 
EE 
C2 (3) i 


全 全 
不 | 二 !]= (= 芭 所 et 区 


一 1， p=4m+t3. 
(4) 车 a=bCmodp), 则 [如]=[ 各 】 
证 因为 a 三 b(modp),p 是 奇 素数 ,所 以 a 二 bp (modp)， 且 [ 二 上 


6 (modp ,各 三 后 (modp) ,所 以 ()-) 


ee 的] 的 -的 
证 [se je 
人 的- 全 


而 (ayazw*as) 7 a 所 (modp), 因此 


[DD 





a,) 3 (modp), 








2.4 二 次 同 余 式 > 


特别 地 ,车 (6,p) = 二 1, 则 (本 j= EE} 








引 理 2.1( 高 斯 引 理 ) 设 (a,p) 二 1, 对 于 1,2,…, 如 5 ,ak 模 p 的 最 小 
剩余 为 4, 车 中 大 于 如 的 个 数 为 加 , 则 (£)]=—.". 


证 记 广 WCG 


人 | 三 es ie Tocmoayy: 
i=1 


J 








由 多 <<<p, 得 1<p 一 万 三 人 多 ,因此 一刀 隆 Qi, 否则 ai 十 刀 二 pp, 即 有 各， 
ks ,使 得 aki 十 aks 三 0(modp) ,由 此 十 ks 三 0(modp), 与 十 ks 二 p 矛盾 .再 由 


(十 m 一 她 二 ,得 


和 中 2)! =(—1"|][alls—6)= Cp" )!(modp), 


i=1 j=l 


消去 (2 于 +)!, 得 (# = D"(modp) ,所 以 [全 ] 一 (一 D"， 








定理 2.6 区]= 呈 DpD 守 ,由 此 可 得 : 


当 p= 二 8h 土 1 时 ， 2 是 模 p 的 平方 剩余 ; 
fy p 二 8h 土 3 时， 2 是 模 p 的 平方 非 剩 余 . 


pl 
“证 各 符号 意义 同 引 理 2.1. 设 a 二 p [全] 二 ,其 中 <p; 则 aD)k = 
k=1 


2 


p> [Es]+ > re, 2 1 , 故 





2 二 t 
az 8 = De 


3 
j=1 








1 
2 t m m 

p> [ 竺 ]+ > )ai | > (p 0) +22)b;—mp 
jiL 罗 iel j=l j=l 








挟 挟 
项 区 [<] t Dk mp + pS 
人 k=1 j=1 
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二 
ak1, p’—1 
一 22; 5 伟 mp +2205, 
pl 


2 
三 一 1 加 
rd Ee > La m(mod2). 
隐 p—1 ak]_ i2k 有 一 
2,R 王 1,2，…， 时 ， 0， 
当 4 时 ,| 委 ] 一 [和 ] 一 0, 放 得 
引 理 2. 1, 得 
(= 一 D 生 
p 


《ahi 士 D)2 一 
( 


| 1 (一 1)2C2+D 一 1 ， 














三 m(mod2). 由 








p=8h 土 1， 
(hit3)* 一 1 


《一 下 一 (一 1)22+D+l 一 一 1 ， 





p=8h 土 3. 
三 ! 

推论 2.1 车 a 是 奇数 as)=1, (名) 一 DS]. 

证 直接 由 定理 2.5 的 证 明 可 得 . 

定理 2.7( 二 次 反 转 公式 ) 设 p,g 是 奇 素数 ,(p,g) 二 1, 则 


的 -cass 全 


证 ae -ndt 中， Ca 需 证 明 


号 [中 [ 的 ]- 与: 





如 图 2-2 ,矩形 OABC 四 点 坐标 为 a 10].8( 和 与 1 福 !)， 





C| .4 了] ,两 个 坐标 都 为 正 整 数 的 点 称 为 整 点 ,该 短 形 内 整 点 数 为 2 1， 
与 ， 


由 于 (2,q) 王 1, 在 矩形 OABC 的 一 条 对 角 线 OD : > 一 xz 上 没有 整 点 , 直 


线 ? 一 xz 把 矩形 OABC 分 成 上 下 两 部 分 ,矩形 内 直线 下 方 的 整 点 数 就 是 z 从 1 
到 人 一 的 直线 下 方 竖 线 的 整 点 数 之 和 ,例如 粗 线 上 整 点 数 就 是 [ 允 ] 个 ， 一 共有 
好 

59 
FP 























O(0,0) Go A 0) (p,0) 


图 2-2 整 点 数 示例 


0 


同 理 可 证 ,矩形 OABC 内 直线 上 方 的 整 点 数 一 共 有 》) 北 ]* 因此 
k=1 








所 所 kp 站 一 站 1 
5g 1 R = 
i ss 
例 2.5 563 是 奇 素数 ,判断 x? 三 286(mod563) 是 否 有 解 ? 
解 563 是 奇 素数 ,286 二 2X13X11, 于 是 


(让 )= ESG 因为 563= 二 8X70 十 3, 故 由 定理 2.6 得 


由 定理 2.7 可 得 
1 | 人 下 
Fs 
13\_/_ i111/563 563 4 3 
(五)= 9 (| (8 问 ( 言 ) lL, 


】 (— DX1ixi 1, 所 以 x? 三 286(mod563) 无 解 . 
































“2.4.4 雅 可 比 符号 


定义 2.3 设 m 是 奇数 ,m 二 pipso…p,;, 其 中 pi;(i 二 1,2,…,7) 是 奇 素数 ,规定 


区 FE 
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这 里 [各] 是 a 对 m 的 勒 让 德 符号 , 称 为 a 对 wm 的 雅 可 比 符号 . 


雅 可 比 符号 的 作用 主要 体现 在 方便 勒 让 德 符 号 的 计算 . 
雅 可 比 符号 具有 如 下 一 些 性 质 . 

















:Ba 
-ele ee em) 
i 
-EE 


人 (二 )=: 
m 
(3) 着 4 三 b(modm), 则 (#)= 2} 
m m 


证 因 a=bmodm), 则 a=bmodp), 帮 ( 生 ]=( 达 ) i=1 pvagpy 
b 
2 


-的 区 

















WE = 1 着 三 汕 半 
i+2 了 ](a+s 2 】 (+22 】 1 
, 





当 乘积 展开 式 中 非 1 的 项 大 于 1 个 时 ,至 少 包含 两 个 2 名 -的 项 ,因此 有 











cm N,V 1 i ,7 ld a eo ,tk 、 
5 2 J H2N,NEZ, 所 以 


二 -周二 - 乓 - 呈 和 
m pi p: p: 


攻 过 
(5) 局 = 2 
m 

















2.4 二 次 同 余 式 


证 7422 一 1 Pipa"p:—1 


8 8 


#3)( +)-( 21] 
(+8 Tt8 8 十 5 8 1 


8 

















1 1 
8 十 8 3 


二 Ea 要 % = 
站 中 I {as 3 TD 气 tt (1) 
1 2 ' 


(6) 设 n,m 是 奇数 , 则 (EE)]=—p? (es) 


m 


由 
+ lioN,, NEZ, 








进一步 , 当 (n,m)= 二 1,m,n 中 有 一 个 为 4m 十 1 型 时 , (二 ]= (加 msn 中 两 


个 都 为 4m 十 1 型 时 , [三 ]= 一 (至 ] 
证 着 01,m)>1, 则 ( 王 ]=( 旦 ]=0, 结 论 成 立 . 


车 (nm) 二 1, 设 n= 二 qiq2…g;: 则 














Po %] 六 | 后 e) 
加) Ue) 下 下 区 j=1 i=1 qj 
过 2 一 gl -1 
三 | 所 3 2)= (= 1 (2) 
且 人 qi UU j=1 \qji 


= (一 we 
雅 可 比 符号 的 好 处 就 在 于 它 具 有 勒 让 德 符号 一 样 的 性 质 和 公式 , 且 当 =1 
时 ,就 是 勒 让 德 符号 . 
例 2.6 判断 x 三 308(mod563) 是 否 有 解 ? 
解 因为 308 二 4X77, 故 


Fn , 2 
(| (ss) (i) 8X70+3, 帮 [63) 


不 必 青 对 77 分 解 ,可 直接 反 转 . 
a 


V7 Na iat S31 063 
Eom DE (| 
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从 而 398) (高 ]( 药 ] 1, 故 zx? 三 308(mod563) 有 解 . 
可 以 看 出 ,利用 雅 可 比 符号 反 转 计算 更 加 方便 . 


注意 , 当 m 为 合 数 时 ,由 (各 ]= 一 1, 可 以 得 到 z= 二 a (modm) 无 解 .但 是 ， 

















a 


(各 ]=1, 不 表示 :三 a(modm) 有 解 . 例如 (§)=-um 三 2(mod3) 无 解 .而 


m 








各 (3)(3) 1, 若 zx? 三 2(mod9) 有 解 二 xz? 三 2(mod3) 有 解 , 蔬 盾 . 


利用 雅 可 比 符号 判断 正 整 数 n 的 素性 的 Solovay-Strassen 算法 的 伪 代 码 
如 下 : 

随机 选取 a,0 二 a 二 n,z 一 (3 ) 
if zx=0 

then return(“n is a composite”) 
ya (modn) 

if zy(modn) 

then return(“n is a prime”) 


else return(“n is a composite”) 


该 程序 运行 一 次 判定 素性 错误 的 概率 为 二, 运行 m 次 错误 的 概率 为 


让 入 当 w 一 100 时 ,错误 的 概率 仅 为 0. 139X10- 
de WF HF FD, 
习题 2. 4 也 


本 本 本 本 号 准 


已 知 563 是 素数 ,判断 x? 三 429(mod563) 是 否 有 解 ?. 
2.5 拉 宾 公 钥 系统 


2.5.1 平方 剩余 的 求解 
设 p 是 奇 素数 ,下 面 讨 论 x? 三 a(modp) 有 人 解 时 ,求解 的 方法 . 


2.5 拉 宾 公 钥 系统 


例 2.7 设 x? 三 a(modp) 有 解 ,而 p= 二 4 十 3, 则 


a = =at1(modp)> (at+!)=a(modp), 


故 z+ 三 土 a**1(modp) 为 解 . 

由 例 2. 6 知 x 三 308 (mod563) 有 和 解 ,而 563 = 二 4X140 十 3, 则 zx 二 
十 308!(mod563) 为 解 . 

例 2.8 设 zz 二 a(modp) 有 解 ,p= 二 8k 十 5, 则 

1=aT =a =a (a*t1)? (modp), 

故 (a*t! 填 ])(a*t1 一 ])=0Cmodyp). 

若 (a*t+! 一 1) 三 0(modp) 过 (a*11)? 二 a(modp), 即 x 三 土 a*11(modp) 为 解 ; 

车 (a*t! 十 1) 三 0(modp) 之 a*1! 二 一 1(modp),2 是 模 记 的 平方 非 剩 余 , 即 
24t2 二 一 1(modp), 于 是 24t?4*t1 二 1(modp), 故 (2*+t1att1)? 二 a(modp), 所 以 
Zz 三 土 24t1aHt1(modp) 为 解 . 


2.5.2 拉 宾 公 钥 的 算法 


Alice 要 求 Bob 将 信息 mr 加 密 传送 回 . 

(1) 密 钥 生成 : Alice 找到 大 素数 p,g, 令 nn 二 pg, 然后 将 nn 作为 公 钥 发 送 给 
Bob, 这 里 p,q 是 私 钥 , 解 密 用 . 

(2) 加 密 : Bob 将 明文 m 分 段 使 加 过 n, 计 算 rw 三 C(modn), 并 将 密 文 C 传 
送 给 Alice. 

(3) 解密 : Alice 收 到 后 ,求解 x* 三 C(modp),x? 三 C(modg), 得 到 解 x 三 
土 bi (modp) ,x 三 土 b;(modg) ,然后 用 孙子 定理 求 得 4 个 解 , 其 中 之 一 为 明文 . 

可 以 通过 预先 约定 字符 来 确定 mm. 

拉 宾 (Rabin) 公 钥 系统 的 安全 性 等 价 于 大 整数 分 解 . 


dF PD, 


习题 2. 5 

和 更 元 半死 交 彤 
. 已 知 211 是 素数 ,判断 x? 二 182(mod211) 是 否 有 解 ? 有 解 时 求解 . 
2. 拉 宾 公 钥 密码 中 , 若 n= 二 209, 明 文 m= 二 199, 求 密 文 . 
3. 拉 宾 公 钥 密码 中 , 若 n= 二 11X19, 密 文 C 王 143 , 求 明文 . 




















ed, 


> 第 2 章 ， 同 余 式 、 原 根 与 公 钥 系统 


2.6 原 根 .指数 及 ElGamal 公 钥 系统 


2.6.1 原 根 与 指数 


定义 2.4 设 mw 之 1,(a,m) 二 1, 则 a?” 三 1(modm) ,一定 有 最 小 的 正 整 数 
4, 使 得 a' 夺 1(modm) ,t 称 为 a 对 模 m 的 指数 , 记 作 Eap) ,1 二 1 过 ql(m); 若 1= 
202), 则 au 称 为 模 m 的 一 个 原 根 . 

定理 2.8 1 二 El(aw 区 0), 则 ral,… ,a 中 ! 对 模 mx 两 两 不 同 余 . 

证 设 ai 二 a’ (modm),0 志 i<j 达 t; 则 a 二 1(modm) 地 j 一 i 二 0, 即 j=i. 

定理 2.9 若 w 对 模 wm 的 指数 为 +, 是 a* 三 1(modm), 则 tk. 

证 设 k=tg 十 r,0 志 rt, 则 1 硅 a* 寺 a*1' 寺 (a')?4a' 二 a'(modm), 故 r=0， 
即 zlk. 

例 2.9 求 2,3,5 对 模 7 的 指数 ,并 找 出 其 中 的 原 根 . 

解 p(7) 王 6， 

因 2 圭 1(mod7), 而 3 一 6 , 故 2 不 是 模 7 的 原 根 ; 

因 3? 圭 2(mod7),3; 夺 6 圭一 1(mod7) ,3 三 1(mod7), 所 以 3 是 模 7 的 原 根 ; 

因 5 二 4(mod7) ,5 三 6 三 一 1(mod7),5' 三 1(mod7), 所 以 5 也 是 模 7 的 
原 根 . 

定理 2.10 若 下 (am) 一 a8,. 则 Ela .72) 一 及 

证 因 (o,z) 王 1, 则 (oo ,m) 二 1. 设 Ela*,m) 二 0, 则 a 二 (a*)* 夺 1] (modm) 
>aBla6=>B|I6. 又 (a )f a 三 1(mod m)=>61B, 所 以 6=pB. 
定理 2.11 设 E(a,m)=a,E(b,m)==B,(a,B)=1, 则 E(ab,m)=ap. 
证 因 (a,m)==1,C0,m)= 二 1, 则 (ab,m)==1. 设 El(ab,m)==6. 
鸯 (ab)* 三 (a )8(W)’1(modm), 所 以 61ap. 
因 1 三 (ab)* 三 (a (6) 三 I (modm), 则 Bla6. 又 (a,B) 二 1, 所 以 B16. 同 理 
可 得 w|6. 因 (ac,B) 王 1 全 ap8|6 一 69 一 ap8 , 即 E(ab,m)=ap. 

定理 2.12 若 p 是 奇 素数 , 则 存在 模 jp 的 原 根 . 

“证 在 模 p 的 简化 剩余 系 1,2,…,p 一 1 中 ,每 一 整数 都 存在 对 模 p 的 指数 ， 
从 这 p 一 1 个 指数 中 取出 所 有 不 同 的 指数 , 记 为 及 ,如 ,…,B. 令 5 一 [BBB，… BJ]， 
5 的 标准 分 解 式 为 ;二 gh gz …gw ,因为 ;是 Bi,B,…,B, 的 最 小 公 倍数 , 则 对 每 一 
i€ {1,2,…,k) ,存在 某 个 j, 使 得 BB 一 ugqr. 设 E(xi,p) 二 ugqr ,由 定理 2.9,E(xt， 
力 ) 二 外, 令 g 一 x? X22 x ,由 定理 2.10,E(g, 力 ) 二 s; 由 定理 2.8,s|p 一 1, 即 




















2 .6 原 根 .指数 及 ElGamal 公 铀 系统 合 


gt ! 一 1 三 0(modp), 但 Bi,B,…,B, 是 1,2,…,p 一 1 的 所 有 不 同 指数 ,由 定 
理 2.2,p 一 1 二 s, 故 s=p 一 1, 即 E(g,p)==p 一 1. 

可 以 证 明 呈 , 若 p 是 奇 素数 , 则 当 m 是 2,4,p*,2p" 中 四 者 之 一 时 , 模 m 的 
原 根 存在 . 

“定理 2.13 设 p 是 奇 素数 ,p 一 1 的 不 同 素 因数 为 gi ,gz，… ,gi,(g,p) 二 1， 
则 g 是 模 m 的 一 个 原 根 合 es 


证 “=>”E(g,p)=p Lo< 针 1 ,1=>g 和 1(modp). 








“<=” 设 对 于 ne ,i=1,2,…,k, 有 E(g,p)=6<p—1. 


61(p—lD)=>p—1 dug> 6, 则 1 二 g* 二 g 乞 关 1(modp), 蔬 盾 . 








2.6.2 ElGamal 公 钥 的 算法 


给 定 正 整数 a,b,m,(a,m)= 二 1, 满 足 a* 三 b(modm) 的 正 整数 x 称 为 离散 对 
数 .一 般 m 取 素 数 p, 当 pp 很 大 时 ,已 知 a,b,p, 求 + 使 a* 三 6b(modp) 非 常 困难 . 

1985 年 EIGmail( 盖 葛 尔 ) 基 于 求解 离散 对 数 的 困难 构造 了 一 个 公 钥 方案 
如 下 : 

Alice 要 求 Bob 将 信息 mr 加 密 送 回 . 

(1) 密 钥 生成 : Alice 找 大 素数 p,p 的 原 根 a 和 正 整 数 X4 二 p, 计 算 ha 三 
axa (modp),Alice 将 p,a,ha 作为 公 钥 传 给 Bob, 这 里 Xs ,是 私 钥 , 留 作 解 密 用 ; 

(2) 加 密 : Bob 收 到 后 将 信息 分 段 , 使 得 二 p, 随 机 取 有 RE {1,2,…,p 一 1)， 
计算 wu 三 a (modp),v 三 Am (modp), 将 密 文 (u,v) 传 送 给 Alice; 

(3) 解密 : Alice 收 到 (u,v) 后 ,计算 vw-*4 硅 hAm(a*)-*4 夺 (aw )tm(at)-*4 三 
m(modp) ,恢复 明文 m, 这 里 一 Xs 实际 计算 时 用 p 一 1 一 Xs 代替 . 

ElGamal 公 钥 系统 的 安全 性 基于 离散 对 数 的 计算 复杂 性 . 要 保证 ElGamal 
公 钥 系统 的 安全 性 ,p 至 少 要 取 二 进 制 1024 位 ,而且 p 一 1 要 有 大 素 因 子 . 


dF 3 ES, 


;习题 2. 6 
号 欧元 天 元 次 肪 
. 模 11 的 简化 剩余 系 中 ,a 对 模 11 的 指数 有 哪 几 种 可 能 ? 
求 模 7 的 所 有 原 根 . 
设 p 是 奇 素数 ,证 明 a 是 模 p 的 原 根 当 且 仅 当 E(a,p)=p 一 1. 
ElGamal 公 钥 密码 中 , Alice 取 p= 二 13,13 的 一 原 根 为 2, X4 二 11,h4 三 


心 pe 


KS 第 2 章 ， 同 余 式 、 原 根 与 公 钥 系 统 


2X4 (mod13) ,这 里 公 钥 为 p 

5. ElGamal 公 钥 密码 中 , 若 Bob 收 到 p= 二 13,ha 二 7, 取 = 二 9, 明 文 m= 二 10， 
求 密 文 (zx 要， 

6. ElGamal 公 钥 密码 中 , 若 p= 二 13,13 的 一 原 根 为 2, Xs 二 11, 收 到 密 文 
(au,u) 一 (5,2), 求 明文 mm. 
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代数 多项式 及 公 钥 


3.1 映射 ,等 价 关 系 


3.1.1 了 映射. 单 射 与 满 射 


定义 3.1 设 M,M' 是 两 个 非 空 集 合 ,c 是 一 个 对 应 法 则 ,通过 这 个 法 则 ,对 
于 M 中 的 每 一 个 元 素 a ,都 有 M 中 唯一 确定 的 元 素 wx 与 它 对 应 , 则 称 c 为 M 到 
M 的 一 个 映射 , 记 作 c: M>M ,a a’ 二 ol(a), 称 a 为 a 在 映射 o 下 的 像 ,而 a 
称 为 a 在 映射 o 下 的 原 像 . 

定义 3.2 设 有 映射 6: M>M'. 若 Va’ EM ,存在 a€EM, 使 a ==o(a), 则 称 
5 是 M 到 M' 的 一 个 满 射 ;车 V al,as EM, 只 要 olal) 二 ol(az), 就 有 a 二 as， 则 称 
oc 是 M 到 M 的 一 个 单 射 ; 若 o 既是 单 射 ,又 是 满 射 , 则 称 o 为 双 射 . 

例 3.1 判断 下 列 M 到 M “对 应 法 则 是 否 为 映射 , 

(1) M={a,bsc} ,M’={1,2,3,4}; 

0: 0(a)= 二 1,0(5)= 二 1,0(c)= 二 2. (是 ) 

6: 6(4a)=1,6(5) 二 2,6(c) 二 3,6(c) 二 4. (不 是 ) 

r: r(0) 一 2,r(c) 一 4. (不 是 ) 

(27 M=Z,M 一 2+. 

cs oa) 一 |2|,YnEZ.( 不 是 ) 

r: TtT(n)= 二 |n| 十 1, Yn€EZ. (是 ) 

例 3.2 判断 下 列 映射 哪些 是 单 射 满 射 、 双 射 : 

(DM= ta M = {1253)s 

a: ol(a) 二 1,0(0) 二 1,0(c) 二 2.( 既 不 是 单 射 ,也 不 是 满 射 ) 

tz: Tt(4)=3,7(0)=2,t(c)=1.( 双 射 ) 

(2) M 二 M' 二 FLx]( 数 域 下 上 一 元 多 项 式 全 体 ); 

co: o(f(z))== 了 (zx),V f(x)EF[Lzxj.( 满 射 ,不 是 单 射 ) 
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(3) M=F,M' 一 M,CF)( 全 体 半 阶 和 矩阵 ) ,E 为 n 阶 单位 矩阵 ; 

r: Tt(a) 二 aE ,VaE€EF.( 单 射 ,不 是 满 射 ) 

(4) M=2Z,M’=27. 

o: 0(n) 二 2n, Yn€EZV.( 双 射 ) 

对 于 有 限 集 来 说 ,两 集合 之 间 存 在 双 射 的 充 要 条 件 是 它们 所 含 元 素 的 个 数 
相同 . 


3.1.2 等 价 关 系 与 分 类 


定义 3.3 设 A 是 一 个 非 空 集合 ,D={ 对 , 错 }) ,那么 AXA={(a,6)| a,bE 
A} 到 了 D 的 映射 R 称 为 A 的 元 素 间 的 一 个 关系 . 

若 尺 :(a,0)P 对 ,就 说 a 与 5 符合 关系 RR, 记 为 aRb, 若 RR:(a,0) 岂 错 ,就 说 
a 与 6 不 符合 关系 玉 . 

定义 3.4 设 R 是 A 的 元 素 间 的 一 个 关系 , 则 R 称 为 A 的 一 个 等 价 关系 ， 
如 果 尺 满足 ， 

(1) 自 反 性 Va€AaRa; 

(2) 对 称 性 ”如 果 aRb, 则 bRa; 

(3) 传递 性 ”aRb,bRe 过 aRe. 

例 3.3 设 nEZ*.K={knlkEZ}),VasbEZV, 规 定 aRb 仿 a 一 bEK, 则 R 
是 Z 的 元 间 的 一 个 等 价 关 系 , 不 难 证 明 , 这 个 关系 就 是 整数 间 关 于 模 n 的 同 

定义 3.5 设 A 是 一 个 集合 ,把 A 分 划 成 若干 子 集 A;, 每 一 个 子 集 叫 做 一 
个 类 ,使 得 A 的 每 一 个 元 素 属于 一 个 类 且 只 属于 一 个 类 , 则 这 个 分 划 称 为 A 的 
一 个 分 类 . 

例 3.4 设 nEZt+,n 宇 2, 取 [0]=={kn|kEZ },[1]=={kn 二 1|kEZD },……， 
[x 一 1j=={kn 十 n 一 11kEZ }), 则 {[0j,[1j,…,[n 一 1]) 是 模 72 的 剩余 类 , 记 作 
Zr, 即 Z, 二 {[0j,[1j],…,[n 一 1]} 因 为 每 一 个 整数 属于 且 只 属于 一 个 类 ,所 以 Z。 
是 Z 的 一 个 分 类 . 

定理 3.1 集合 A 的 每 个 分 类 决定 A 的 一 个 等 价 关 系 . 

证 设 A=UA; 是 一 个 分 类 ,规定 A 的 一 个 关系 : a~bSa 与 5b 在 同一 类 ， 
显然 一 是 A 的 一 个 关系 ,再 证 明 一 是 等 价 关 系 : 

(1) 自 反 性 VaEA, 则 有 某 个 A;, 使 得 cEAi'a 与 a 在 同一 类 ,a~a; 

(2) 对 称 性 Va:oEA, 若 ac 一 0, 则 < 在 同一 类 A,; 中 ,当然 5,a 在 同一 类 
Ai 中 ,因此 有 0~as 











3.2 # C0> 


(3) 传递 性 ”Va,b,cEA, 若 a~b,b6~c, 知 有 某 个 A;,a,b 在 同一 类 A, 中， 
b,c 在 同一 类 A; 中 , 故 a,c 也 在 同一 类 A; 中 ,所 以 a~c. 

定理 3.2 集合 A 的 任 一 个 等 价 关 系 一 都 可 确定 A 的 一 个 分 类 . 

证 VaEA, 令 [dj={zEA|z~oj ,由 oa 一 a=>aE[o, 即 4 的 每 一 个 元 a 
都 属于 一 类 . 

车 a€[L6bjN|[cj 坟 a~b,a~c, 由 一 的 对 称 性 和 传递 性 知 5~~c 二 bE [ec 
[6 全 [cj; 同 理 ,[c]SS[5j, 所 以 [6]==[cj, 即 A 的 每 一 个 元 只 能 属于 一 个 类 . 


Bag 


4 习题 3. 1 
和 

1. 替 整 数 集 Z 规定 一 个 关系 三 : Ya,bEZ, 规 定 a 三 6b (mod6) 全 6| (a 一 5)， 
证 明 关系 三 是 一 个 等 价 关 系 ,并 写 出 该 等 价 关 系 决定 的 分 类 . 

2. 在 给 出 的 数 对 中 ,3 与 7, 一 11 与 2,21 与 一 7, 一 9 与 15, 哪 些 数 对 中 的 数 
属于 Z4 的 同一 类 ? 

3. 在 2Z 中 ,属于 [2] 的 整数 是 : 16, 一 6,20, 一 30 中 的 哪些 个 ? 

4. 在 2 中, 哪 两 个 剩余 类 相等 ; [一 3j 与 [9];[ 一 12] 与 [32];[ 一 1j 与 
[一 10];[ 一 7] 与 [31]? 











3.2 群 


3.2.1 和 群 的 定义 与 性 质 


定义 3.6 和 群 G 是 一 个 非 空 集 合 , 定 义 了 一 个 代数 运算 *。”, 叫 做 乘法 ,并 
满足 : 

(1) G 对 乘法 封闭 , 即 a,5EG>a* bEG. 

(2) 乘法 适合 结合 律 , 即 Ya,b,cEG, 都 有 a* (bc)==(a*b)。ie. 

(3) G 中 存在 e, Ya€EG, 都 有 e* a==a. 

(4) VaEG,G 中 都 存在 一 个 元 素 a' ,使 得 a * a=e. 

乘法 运算 时 乘 号 可 以 省 略 . 

e 称 为 G 的 左 单位 元 ,a 称 为 a 的 左 逆 元 .类 似 地 ,G 中 的 元 e 若 满足 VaE 
G, 都 有 ae 一 wa, 则 称 e 为 右 单位 元 ;G 中 的 元 a 若 满 足 aa 一 e, 则 称 a' 为 a 的 右 
道 元 . 

例 3.5 设 G=R!( 正 有 理 数 ), 运 算是 数 的 乘法 , 则 G 对 乘法 作成 一 个 群 . 
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但 整数 全 体 Z 对 数 的 乘法 不 作成 群 ,因为 2 在 Z 中 没有 左 逆 元 . 

群 的 一 些 基本 性 质 如 下 . 

(1) 一 个 左 逆 元 一 定 是 一 个 右 逆 元 , 即 wa 一 e 一 aa 二 e. 

证 aa’==eaa’ = 二 (da’)aa’=a (a'a)a’ 一 aea 一 oa 

(2) 左 单位 元 一 定 是 右 单位 元 , 即 ea 二 a 过 ae 二 a. 

证 ae==a(a'a)==(aa’)a=ea=a. 

以 后 左 单位 元 就 称 为 单位 元 , 左 逆 元 就 称 为 逆 元 . 

(3) 群 G 中 单位 元 唯一 . 

证 设 e,e' 都 是 G 的 单位 元 , 则 一 ee 一 e. 

(4) G 中 元 a 的 道 元 唯一 . 

证 设 a',a 都 是 a 的 道 元 ,a "=a*%e==a’(aa’)==(ala)a’=a’. 

a 的 唯一 道 元 记 作 a . 

(5) G 中 消去 律 成 立 , 即 a6==ac 坟 b=c,ba==ca 坊 b=. 

一 个 群 的 元 素 个 数 称 为 群 的 阶 , 记 作 1G|; 当 |1G| 是 有 限 整数 时 , 称 为 有 限 
群 ,否则 , 称 为 无 限 群 . 


























例 3.6 设 G 刚 好 包含 xs 一 1 的 三 个 根 :1,6 一 一 8, 一 1 


对 于 数 的 乘法 来 说 G 作成 一 个 群 ,这 个 群 的 单位 元 为 1,e: 和 es 互 为 逆 元 . 

例 3.7 设 2, 是 由 模 的 剩余 类 组 成 的 集合 , 即 Z,=={[0],[1],…,[n 一 1J}. 

(1) 替 Z, 规定 加 法 : [aj 十 [5]==[a 十 四], 不 难 证 明 加 法 定义 合理 , 即 十 与 代 
表 元 无 关 ; 

(2) 结合 律 成 立 :([aj 十 [6j]) 十 [c]==[a 十 6] 十 [cj]==[(a 十 6) 十 c]==[a+ 
(十 c)] 王 [oa] 十 [十 co] 王 [oa] 十 (LO 十 [c]); 

(3) 有 单位 元 L0], 以 后 称 L0] 为 Z, 的 零 元 ; 

(4) 任意 Locj] 有 逆 元 [一 oj, 以 后 称 [ 一 oa 为 Lo] 的 负 元 . 

Z, 称 为 模 的 剩余 类 加 群 ,是 一 个 有 限 群 . 

可 用 模 的 最 小 非 负 完 全 剩余 系 代替 模 ” 的 剩余 类 ,加 法 就 用 剩余 加 法 代 
替 普 通 加 法 ,结果 一 样 . 


3.2.2 置换 


定义 3.7 有 限 集合 的 一 一 变换 称 为 置换 . 
设 A=={ai,azs，…,a,} 是 一 个 元 集合 ,置换 x: tia 全 一 12 352) 可 以 


























1 2 … 77 
kl ks 2 kk, 
1,2,…,n 的 一 个 排列 . 进一步 还 可 以 简 记 为 kko…k，. 

n 元 置换 把 模 的 完全 剩余 系 变 为 模 的 完全 剩余 系 . 

实行 两 次 置换 m .cz ,相当 于 实行 一 次 置换 a ,oz. 

例 3.8 设 有 两 个 置换 


下 和 3 入 
页 一 +» = 
‘| 人 


可 以 将 这 两 个 置换 m ,os 依次 连 起 来 ,得 到 一 个 新 的 置换 , 称 新 的 置换 为 置 
换 m 和 的 乘积 , 记 为 o10。. 如 


为 =|[ 


a ds a 
大 


-mia -| 
CA Qi a 光 


一 


人 ed 
0102 二 
次 省 六: 汪 训 放 玉 和 洲 证 六 
le 
外 
-L349 
六 下 和 壮族 
来 


还 可 以 将 一 个 置换 o 反 向 
的 道 , 记 为 a .如 


RT i 中 = 2 3 4 
人 

不 难 证 明 ,这 样 定义 运算 后 ,所 及 元 置换 作成 一 个 群 , 称 为 nn 次 对 称 群 . 
3.2.3 加 群 子 群 


群 G 如 果 还 满足 : Ya,bEG,ab 二 ba, 则 称 G 为 交换 群 .交换 群 也 称 为 阿 贝 
尔 (Abel) 群 . 

当 把 交换 群 G 的 运算 符 记 作 加 号 ,G 就 称 为 一 个 加 群 .下面 的 运算 为 乘法 及 
加 法 时 的 对 比 . 


看 ,也 得 到 一 个 新 的 置换 , 称 新 的 置换 为 原 置换 


二 
ab [2 
e( 单 位 元 ) 0( 零 元 ) 
a na 


a 1(a 的 道 元 ) 一 aa 的 负 元 ) 
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例 3.9 所 有 整数 Z 对 于 数 的 加 法 作成 一 个 加 群 . 

例 3.10 模 n 的 最 小 非 负 完 全 剩余 系 Z, 对 于 剩余 加 法 作成 一 个 加 群 . 

定义 3.8 设 @ 关 HC 和 群 G, 如 果 五 对 G 的 运算 也 作成 一 个 群 , 则 互 称 为 
G 的 子 群 , 记 作 : HG. 

定理 3.3 设 名 关 HCG, 如 果 Va,bEHab€E H,a IE 万, 则 HG. 

证 下 面 验 证 群 的 4 个 条 件 (2) 结 合 律 对 G 的 所 有 元 成 立 , 对 G 的 子 集 玉 
的 元 也 成 立 ; 定 理 条 件 表 明 群 定义 中 (1), (4) 成 立 ; 由 (4)a !€ 甩 ;再 由 (1)e= 
aiaE 互 ,(3) 成 立 , 所 以 HG. 

例 3.11 G=2Z,H={2n|ln€E2Z }, 则 H<G. 

证 2n 十 2n = 二 2(n 十 n)ERH, 一 (2n)=2( 一 n)€EH, 由 定理 3.3,H<G. 

群 G 的 子 群 {e} 和 G 称 为 G 的 平凡 子 群 . 

定理 3.4 设 玉 是 群 G 的 有 限 子 集 ,如 果 Va,b€E H>ab€EHH, 则 H<G. 

证 (1) 互 对 G 的 乘法 封闭 ， 

(2) 结合 律 成 立 ; 

(3) 设 五 ={a au) ;a€EH, 邻 HH =={aq aa aay)CC 五 ,如 果 aai 王 
aai ,由 消去 律 ,w 一 w, 因 此 | 五 |=2 这 里 | 五 "| 表示 集合 五" 的 元 素 个 数 ,所 以 
五 "一 互 .于 是 , VE 互 ,存在 wiE 互 ,使 得 0 一 aai. 

令 槛 ={arayazas… ava) 性 甩 , 类 似 地 可 证 ,H”== 昌 ,所 以 对 a€ 晶 ,存在 
asE 电 ,使 得 a==axa. 将 ais 记 为 e, 即 ea=a, 则 eb=eaa;=aa;=b; 勾 e€EH=H’， 
存在 wE 互 ,使 得 一 we ,ww 就 是 a 的 左 逆 元 . 

定义 3.9 设 cE 群 G, 将 w 自 乘 , 取 逆 , 作 成 一 个 新 的 集合 互 , 则 互 <G, 称 
为 a 生成 的 子 群 , 记 作 有 H= (a). 

定理 3.5 设 玉 是 有 限 群 G 子 群 ,1G|=n.|H|=m; 则 mm|n. 

证 下 面 证 明 G 中 的 个 元 被 分 到 若干 个 mm 个 元 的 子 集中 去 了 . 

(1) 设 H={aryazsssan} ;a€EG; 令 aH=={aaqiyaas ,aam}) ,如 果 aa; 一 
aaj， 由 消去 律 ,a; 二 aj ,因此 |aH|==m, 即 每 个 子 集 a 的 元 的 个 数 都 为 m; 

(2) Va€G,a 二 ae Ea 昌 , 即 G 的 每 一 个 元 属于 一 个 aH ; 

(3) bEaH>bHCaH, 由 |6H|==|aH|1 坟 bH==aH; 若 5b 还 属于 cH, 则 
Cc 及 二 6b 有 HH 二 a 昌 , 即 G 的 每 一 个 元 只 能 属于 一 个 aH. 

这 样 , 设 一 共有 个 不 同 的 aH ,n= 二 |G|=h|H|=hm, 即 ml|n. 

定理 3.5 证 明 中 的 关 称 为 @ 对 互 的 指数 , 记 作 [G: HjJ. 因 此 有 下 面 的 结论 . 

推论 3.1( 拉 格 朗 日 定理 ) |G|==1HIL[G: HJ]. 

设 |G|==n,a€EG, 使 得 a'==e 的 最 小 正 整 数 1 称 为 a 的 阶 , 记 作 |al. 











3.3 > 


推论 3.2 设 |G|=n, Ya€EG,|al|1G|, 即 元 的 阶 整除 群 的 阶 . 
证 令 互 =(a), 则 互 <G,* 一 lo 三 |(o)| ,再 由 定理 3. 5,zl7。 


dF PD, 


习题 3.23 


Se oe oe ee 


1. 在 加 群 Zs 中 , 找 出 所 有 子 群 . 


2. 计算 置换 
1 电车 
en earedn 

3. 在 群 Z。 中 ,指出 所 有 元 的 阶 . 

4. 设 B 取 HCG, 证 明 : 如 果 Va,b€E Ha 0 GE 万 , 则 H<G. 


3.3 环 


3.3.1 环 的 定义 


定义 3.10 ”说 集合 R 是 一 个 环 ,如 果 : 

(1) R 是 一 个 加 群 ; 

(2) R 还 有 一 个 乘法 ,a,bE Ra* b=ab€ER; 

(3) 乘法 适合 结合 律 ,a,b,c ER,a(bc)==(ab)e; 

(4) 乘法 对 加 法 适合 左右 分 配 律 ,a,b,c ER,a(b 二 c)==ab 十 ac, (a 十 b)c== 
uc bes 

例 3.12 设 R=Z, 运 算是 数 的 加 法 和 乘法 , 则 R 作成 一 个 环 , 称 为 整数 环 . 

例 3.13 设 2EZ- , 则 2, 对 剩余 类 加 法 和 乘法 作成 一 个 环 . 

证 由 3.2.1 节 知 Z, 对 剩余 类 加 法 作成 一 个 加 群 ,下 面 替 Z, 规定 乘法 : 
[aj * [5]=[a* 6]. 

不 难 证 明 乘 法 定义 合理 , 即 。 与 代表 元 无 关 . 

乘法 适合 结合 律 : (La]* [5])* [ej=La*8]*Lej=[Ca* 6b) «el= 
[a* (6°0)]=[Laj* [6* cj]=[Laj* (LO [Le]); 

乘法 适合 对 加 法 分 配 律 : [a]。([6j 十 [cj))==[aj]* [5j 十 [aj * [ej， 
ad ods Lel=[els [d+ La 

所 以 ,Z, 作成 一 个 环 , 称 为 模 n 的 剩余 类 环 . 

定义 3.11 设 R 为 一 个 环 , 若 a,bER,a 关 0,6b 关 0, 但 ab 一 0, 则 说 a,b 是 
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RR 的 零 因 子 ; 若 aER, 存 在 e,ea 二 ae 二 a, 则 e 称 为 R 的 单位 元 ;车 YVa,bER， 
ab 一 0 , 则 称 R 为 交换 环 . 

例 3.14 设 R=2Z6,[2j,[3]E€E2Zo,[2] 关 [0j,[3j] 关 [0j,; 但 [2][3]= 
[6]==[0], 即 Z, 有 零 因 子 . 

定义 3.12 ”如果 环 R 中 无 零 因子 , 则 说 R 是 无 零 因 子 环 ;如 果 无 零 因子 环 
及 对 于 乘法 来 说 ,还 是 有 单位 元 的 交换 环 , 则 说 R 是 一 个 整 环 . 

例 3.15 整数 环 Z 是 一 个 整 环 . 


3.3.2 域 


定义 3.13 说 环 R 是 一 个 域 (Field) ,如 果 : 

(1) R 至 少 包含 零 元 和 单位 元 , 且 零 元 了 单位 元 ; 

(2) R 是 交换 环 ; 

(3) R 中 非 零 元 有 逆 元 . 

不 难看 出 , 域 是 整 环 ,但 整 环 不 一 定 是 域 . 

例 3.16 有理数 全 体 Q 对 于 数 的 加 法 和 乘法 作成 一 个 域 . 

例 3.17 设 p 是 素数 , 则 模 p 的 剩余 类 环 Z, 是 一 个 域 . 

证 2, 至 少 包含 两 个 元 ,乘法 适合 交换 律 ,有 单位 元 [1j, 对 任意 [0] 关 
[aj€2Z,,(a,p)= 二 1, 则 存在 s,t€EZ, 使 得 sa 十 tp 二 1, 从 而 sa 三 1(modp), 即 
[sj[aj==[1j, 故 [ajJ 有 北 元 [sj, 所 以 Z, 是 一 个 域 . 

也 可 以 由 欧 拉 定理 得 出 , 因 p 为 素数 , 则 pg(p) 二 pp 一 1, 故 ar?a 二 a”7! 三 
1(modp), 即 [a*”?][aj 二 [1j, 故 [aJ 有 逆 元 [a*]. 

元 素 个 数 有 限 的 域 称 为 有 限 域 ,Z, 是 最 简单 的 有 限 域 . 

例 3.18 域 下 的 非 零 元 集 F* 对 下 的 乘法 做 成 一 个 群 . 

证 设 a,bEF*, 则 4a 了 0,6 冯 0. 由 于 下 无 零 因 子 >ab 隆 0 二 F* 对 乘法 封 
闭 , 群 的 结合 律 .单位 元 和 逆 元 的 条 件 显然 满足 . 

例 3.19 域 Z, 的 非 零 元 a 都 满足 c 生 :一 1. 

证 2 中 有 pp 个 元 , 它 的 非 零 元 集 Zi 共有 p 一 1 个 元 ,由 例 3.18,2Z; 作 
成 一 个 群 , 因 此 12; |=p 一 1, Ya€ 2; ,由 推论 3.2,1al|| 如 |=p 一 1, 所 以 

“定理 3.6 无 零 因子 环 R 中 ,所 有 非 零 元 对 加 法 来 说 的 阶 相等 . 这 个 相等 的 
阶 称 为 R 的 特征 . 

证 设 0 关 a,0 关 bER,a 对 加 法 的 阶 为 nn, 则 na 二 0 之 a(nb) 二 (na)b 二 0. 由 

R 无 零 因 子 过 nb 一 0, 即 5 对 加 法 的 阶 二 n. 同 理 ,a 对 加 法 的 阶 生 5b 对 加 法 的 阶 ， 





u 


3.4 域 上 多 项 式 环 使 
所 以 wb 对 加 法 的 阶 相等 


“定理 3.7 有 限 无 零 因 子 R 环 的 特征 只 能 是 素数 p. 

证 ”如果 环 R 的 特征 是 合 数 二 wn ,1 过 m7 过 nva 对 加 法 的 阶 , |a|==n， 
MQ4 关 0,nzQa 关 0 (ma)， (nza) 二 (mnzs)a’: 二 (na)a 二 0，a 二 0 字 R 有 零 因子 ， 
矛盾 

“ 例 3.20 设 R 为 特征 是 p 的 交换 环 ,a,5ER, 则 (a 十 56)? 二 a? 十 bx. 

证 明 (Cat6)?=ar+Clar16+ .Clad -1+ Cob?. 

因为 p1C4 ,因此 Cha?6:==0,k 二 1,2,…,p 一 1. 所 以 (a 十 6)?*= 二 a? 十 br. 














1. 给 出 Z; 的 加 法 表 和 乘法 表 . 
2. 求 Zoo 中 所 有 逆 元 的 元 和 它 对 应 的 逆 元 . 
3. 下 列 环 中 ,哪些 不 是 域 ? 
ZO RC Dao 


3.4 域 上 多 项 式 环 


3.4.1 域 上 一 元 多 项 式 环 
设 下 是 一 个 域 ,a;EF,n 是 一 个 非 负 整 数 ,x 是 一 个 符号 , 称 











n 
f(r) 一 az 十 az 十 十 az 十 ao Dair: 
i=0 


为 域 下 上 的 多 项 式 .着 a, 隆 0, 则 nn 称 为 /(zx) 的 次 数 , 记 3(f(x)),a, 为 首 项 系 
数 . 首 项 系数 为 1 的 多 项 式 称 为 首 1 多 项 式 . aiz' 称 为 /(x) 的 i 次 项 ,系数 全 为 
0 的 多 项 式 称 为 零 多 项 式 . 零 多 项 式 不 定义 次 数 . 


多 项 式 运 算 包 括 加 法 ,减法 .乘法 . 设 /(x) = Daiz', gl) = 2 ,定义 : 








加 法 : f(x) 十 g(x) 一 (qi 十 bi)xi, 这 里 不 妨 设 n 宇 m, 当 i 六 m, 取 b;==0. 
i=0 
乘法 ， 


二 


asbnz™™" 十 (ab 1 十 ao iD DZ ll 十 … 十 (aipo 十 ab) 六 十 aopo 
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hm 


一 这 泥 (aibi)x’, 
s=0 ij=s 


其 中 ; 次 项 x; 的 系数 为 
cs 一 Qo 十 a-10 十 … 十 aip0- 十 aop, = DB ab. 





域 眉 上 zx 多 项 式 全体 对 加 法 和 乘法 运算 构成 一 个 环 , 称 为 域 上 一 元 多 项 


式 环 , 记 为 FLz]. 
定理 3.8 设 /(x) 和 g(x) 是 域 玉 上 的 多 项 式 , 且 g(x) 取 0, 则 存在 唯一 的 
多 项 式 g(x) ,r(x) ,使 
f(x)=g(x)g(z)+r(r), r(xz)=0 或 9(r(zx))<a(g(z)). 
* 证 着 /f(z)==0 或 9a(f(7z)) 过 9(g(7z)), 则 令 q(x)==0,r(x)= 二 f(x), 结 论 
成 立 . 
车 f(x) 关 0 或 9(f(x))=n 宇 9(g(x))==m, 即 


f(x) = az amiz™! 十 … 十 az 十 ao 一 Daw! 和 
i=0 


g(X) = bnr” 十 Di 十 … 十 Oz 十 bo = 二 Dori. 
j=0 


对 /(zx) 的 次 数 n 作 数学 归纳 法 . 

n= 二 0, 则 m=0 且 b 非 零 ,f(x)==ao = 二 (aobs1)b 十 0, 结 论 成 立 . 

假设 对 次 数 小 于 nn 时 ,结论 成 立 . 现在 来 看 /(x) 次 数 为 的 情形 . 这 时 f(x) 
的 首 项 为 ax”" ,g(xz) 的 首 项 为 bx"(n 宇 m0) , 则 41azr""g (x) 与 1/(z) 有 相同 的 首 
项 ,因而 多 项 式 f(z)= 二 f(z) 一 0 1ax”"g (x) 的 次 数 小 于 nn 或 f1(z) 为 0. 若 
用 (zx)=0, 令 gq(z)=0 laz rz) 一 0 即 可 ;车 3(fi(x)) 过 n, 由 归纳 假设 , 存 
在 qi1(x) ,ri(zx) 使 得 fj (x)= 二 qi (zx)g(z) 十 ri(x), 其 中 9(r(x)) 二 9(g(x)) 或 者 
rn(z)==0. 于 是 f(x)=b iaz "g(rz)+fi(r)= (6b 1az "+q(r))g (zr)+ 
ri(zx), 即 有 g(x)=b lazx"" 十 qi (xX),r(z)= 二 ni(z), 使 f(z)=g(x)g(z) 十 
r(xz). 由 数学 归纳 法 原理 ,存在 性 成 立 . 

再 证 唯一 性 . 若 还 有 f(z) 二 qi (zx)g(z) 十 rm (x), 其 中 9(r1(x)) 过 9(g(x)) 
或 (rz) 二 0, 则 
q(x)g(T)+r(z)=g (rz)gz)tnlz), Bp (g(x)—gqi (zr)) g(r)=n(r)—r(z). 

车 ri(zx) 一 r(xz) 隆 05 则 g(x) 一 gi (zx) 关 0;9(g(x)—qi(z)) +a(g(z)) 二 > 
a(g(z))>max{a(ri(rx)),9(r(z))} 之 9(ri(zx) 一 r(x)), 巴 盾 . 

所 以 i(z) 二 r(xz) 从 而 q(x) 二 q(x) ,唯一 性 得 证 . 





3.4 域 上 多 项 式 环 会 


在 f(x) 二 q(x)g(z) 十 r(xz) 中 ,g(x) 称 为 g(x) 除 f(x) 的 商 式 ,r(x) 称 为 余 
式 . 多 项 式 除法 具有 与 普通 除法 一 样 的 长 除法 . / (xz) 二 q(x)g(z) 十 r(x) 可 以 记 
为 (2)=7(x) (modg(z)). 

定义 3.14 设 /(zx) 和 g(xz) 是 域 玉 上 的 多 项 式 , 且 g(x) 关 0. 车 存在 g(x) 
使 f(x) 二 g(x)g(z), 则 称 g(x) 整 除 f(z), 记 为 g(x)|f(z), 也 说 g(x) 是 f(x) 
的 因 式 . 

定义 3.15 设 /(x) 和 g(xz) 不 全 为 0,/(zx) 和 g(x) 的 次 数 最 高 的 首 1 公 因 
式 称 为 最 大 公 因 式 , 记 为 (f(z),g(zx)). 若 (f(x),g(z)) 二 1, 则 称 f(x) 和 g(x) 
互 素 . 

不 难 证 明 , 若 (f(x) ,g(x))==1, 则 存在 多 项 式 w(z) ,uCz) ,使 得 

u(xz)f (rx)+v(r)g(r)=1. 

定义 3.16 若 存 在 次 数 大 于 0 的 多 项 式 g(z) 和 g(x), 使 f(z) 二 g(x)g(zx)， 
则 称 /(zx) 为 可 约 多 项 式 ,否则 /(x) 称 为 不 可 约 多 项 式 或 既 约 多 项 式 . 

例 3.21 设 p(z) 是 域 下 上 不 可 约 多 项 式 ,/(x) 是 下 上 任 一 多 项 式 , 有 
p(X)1/(z) 或 (p(x),f(x))=1. 

证 设 (p(z),/(7z))= 二 d(z), 则 d(xz)1p(z). 由 于 p(x) 不 可 约 , 故 d(x)=1 
或 d(xz)==cp(x),c 关 0. 若 d(xz)=cp(x), 则 p(x)1f(zx). 

例 3.22 设 g(x) 为 域 玉 上 使 得 g(a)==0 的 次 数 最 低 的 多 项 式 , 则 g(x) 是 
不 可 约 多 项 式 , 上 且 车 有 f(a) 二 0, 则 g(x)|f(x),g(z) 称 为 a 的 极 小 多 项 式 . 

证 因 f(x)=g(x)g(zx) 十 r(x),r(x)==0 或 9(r(z)) 二 9(g(x)), 故 f(a)= 
g(a)g(a)tr(a). 

由 g(x) 次数 最 低 坊 r(x) 二 0, 得 g(x)| f(x). 

例 3.23 xz' 十 1 看 作 有 理 数 域 上 的 多 项 式 是 不 可 约 的 ;但 是 看 作 Z, 上 的 多 
项 式 , 因 为 2 上 ,1 十 1=0, 所 以 Z, 上 的 多 项 式 

zt 十 1 二 (x 十 1) (zx; 十 x? 十 x 十 1) 二 (x 十 1)， x 十 1 

是 可 约 多 项 式 ;而 多 项 式 x 十 x 十 1 即使 看 作 Z。 上 的 多 项 式 ,也 是 不 可 约 多 项 
式 , 因 为 它 没 有 一 个 真 因 式 .事实 上 , 若 x; 十 x 十 1 二 (x 十 a) (x? 十 bx 十 c) 过 x 十 
式 十 1 王 邓 十 (aa 十 0 好 十 (a6 十 c) 关 十 ac 一 2 十 0 一 0,a5 十 < 一 1，ac 一 1 一 0 一 < 一 1,0 
0, 与 a 十 6=0 矛盾 . 


“3.4.2 置换 多 项 式 及 公 钥 


定义 3.17 设 /(z) 是 一 个 整 系数 多 项 式 ,如 果 通过 模 n 的 完全 剩余 系 
时 ,f(x) 也 通过 模 .的 完全 剩余 系 , 则 称 f(z) 是 一 个 置换 多 项 式 . 
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例 3.24 (a,n)= 二 1,ax 十 b 是 一 次 置换 多 项 式 . 
例 3.25 设 f(z),g(zx) 都 是 关于 模 n 的 置换 多 项 式 , 则 f(g(x)) 也 是 关于 
模 nn 的 置换 多 项 式 , 即 置换 多 项 式 的 复合 也 是 置换 多 项 式 . 
迪克 森 多 项 式 
设 r 是 素数 ,n 三 1, 有 限 域 Z, 上 迪克 森 (Dickson) 多 项 式 为 
D(x,a):Do=2, Di=x, D,ri=zxD,—aD, 1; 
E(x,a):Eo=l1, E=zx, Ei=zxE,—aE,i. 
Schur 提出 的 迪克 森 多 项 式 为 
Dr (rajs Dy =1s Di=xs Dra=zD 一 xD 一 1 
E: (zsa): Ev =0, Er 一 1， Ei=zxE* —aE.i. 
关于 p 元 有 限 域 Z, 上 迪克 森 多 项 式 有 下 面 的 结果 . 
定理 3.9 中 ”DD, (x,a) 是 置换 多 项 式 ,a€2, 售 (nn,p’ 一 1)=1. 
下 面 利用 其 中 的 D; (zx,1) 的 构造 公 钥 系统 . 
例 3.26 D; (z,1) 公 钥 系 统 器 ， 
Alice 要 求 Bob 将 信息 加 密 送 回 . 
(1) 密 钥 生成 : Alice 随机 选取 两 个 大 素数 p,q, 令 nn 二 pq, 计算 
t 一 lcm( 力 一 1,g 一 1, 轧 十 1,9g 十 1). 
随机 选取 a, 满足 (a,t) 二 1, 求 d, 满 足 da 三 1(modt). 将 公 钥 nn,a 发 送 给 Bob,p， 
qvt,d 是 私 钥 , 留 作 解 密 用 ; 
(2) 加 密 : Bob 将 明文 转换 为 数字 并 分 段 , 使 得 每 段 m 二 n, 计 算 C= 
D: (m,1) (modn) ,将 密 文 C 发 送 给 Alice; 
(3) 解密 : Alice 收 到 后 计算 m= 二 Di (C,1) (modn) ,恢复 明文 对 应 的 mm. 
LUC 是 1993 年 新 西 兰 人 Smith 等 利用 Lucas 序列 构造 的 一 种 基于 大 整数 
分 解 的 公 钥 系统 ,D; (zx,1) 公 钥 算 法 是 LUC 公 钥 算法 的 改进 ,也 是 RSA 算法 的 
推广 ,其 安全 性 等 价 于 大 整数 的 分 解 ,与 LUC 公 钥 比较 ,D; (z,1) 公 钥 安 全 性 
相同 ,但 计算 量 相对 少 . 详细 的 讨论 和 分 析 见 文献 [5]. 
有 限 域 上 的 切 比 雪夫 多 项 式 
有 限 域 上 的 切 比 雪夫 (Chebyshev) 多 项 式 为 T(x) 志 1(modp), T(x) 寺 
这 
例 3.27 下 面 用 T,(z) 构 造 基 于 切 比 雪夫 多 项 式 T,(z) 的 公 钥 系统 [ : 
Alice 要 求 Bob 将 信息 加 密 送 回 . 
(1) 密 钥 生成 : Alice 随机 选取 大 素数 p ,整数 zx, 满足 1<z<zp 一 1, 一 个 随 
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机 整数 ;二 p ,计算 A 三 T,(x) (modp) ,如 果 满 足 A 关 1,p 一 1, 将 (x,A,p) 作 为 公 
钥 发 送 给 Bob, 将 私 钥 ;保密 ,否则 重新 选取 s; 

(2) 加 密 : Bob 收 到 公 钥 (zx,A,p), 将 消息 变换 成 一 个 数值 并 分 段 , 使 得 每 
段 满 足 0 二 mm 二 p, 随 机 选取 一 个 整数 r 二 p, 计 算 B 三 T,(x)(modp) 和 XX 二 
mT,(A)(modp). 如 果 满 足 B 关 1,p 一 1 且 1 过 T,(A)(modp) 二 p 一 1, 将 密 文 C= 
(B,X) 传 给 Alice, 和 否则 重新 选取 整数 ~; 

(3) 解密 : Alice 收 到 密 文 C, 先 使 用 私 钥 计算 ,T 三 T,(B)(modp) ,然后 计 
算 mm=XT-:Cmodp) ,恢复 明文 对 应 的 . 

详细 的 讨论 和 分 析 见 文献 [6]. 也 可 用 迪克 森 多 项 式 奉 代 切 比 雪 夫 多 项 式 ， 
用 同样 的 方式 构造 公 钥 系统 . 





dP FS, 


习题 3. 4 


Se ee he 


1. 对 于 系数 为 Z; 上 的 多 项 式 ,计算 : 

(1) (7z 十 2) 一 (zz 十 5); 

(2) (6x? 十 2x 十 2) (5zx? 十 2). 

2 tar ml.—1)), 
相当 于 把 f(x) 乘 以 + 后 ,把 a,-1x" 换 成 a,-1 ,并 移 到 最 后 一 项 . 写 出 r(x). 

3, 在 2Z; 上 的 迪克 森 多 项 式 Ds (xz;1),Di(z;1),Ds(z;1),Ds(x,1); 
Di(z,1),D;(z,1),Ds(zx,1) 中 , 找 出 其 中 的 置换 多 项 式 . 
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3.5.1 理想 与 剩余 类 环 


定义 3.18 设 B 关 ICR, 如 果 Va,bET,YVrER, 都 有 a 一 bE€l1,ra,ar€1， 
则 说 I 是 R 的 一 个 理想 , 记 作 14 R. 

任 一 环 尽 至少 有 两 个 理想 , 即 {10} 和 尺 本 身 ,{0)} 称 为 零 理 想 ,R 称 为 单位 
理想 . 

用 (4a) 表示 包 含 元 a 的 最 小 理想 , 即 所 有 包含 a 的 理想 的 交集 , 称 为 由 a 生 
成 的 主 理想 , 当 R 是 有 单位 元 的 交换 环 时 ,(a)=={ralr€ER}. 

例 3. 28 一 个 域 只 有 零 理 想 和 单位 理想 . 

证 设 I 是 域 F 的 非 零 理 想 ,那么 V0 隆 nET, 存 在 n !EF, 由 理想 的 定义 
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得 1==n-!nET. 于 是 Vr€EF,r 二 r+r。1E€ET. 由 7 的 任意 性 得 FCI. 所 以 I=F. 
例 3.29 R=2Z,I={nk|kEZ), 则 I<4R. 


3.5.2 环 的 同 态 映 射 
定义 3.19 设 p 是 环 {R, 十 ,。} 到 环 { 玉 , 干 ,。)} 的 映射 . 如 果 p 满足 ， 


Va,bER,p(atb)=p(a) Fb) ,ga b=9(a) * pg(0), 

则 说 g 是 一 个 环 R 到 RR 的 同 态 映 射 . 

如 果 g 还 是 满 射 , 则 称 g 为 同 态 满 射 ,这 时 说 尺 与 RR 同 态 , 记 为 R~ 尺 ;如 果 
9 还 是 双 射 , 则 称 9 为 同 构 映射 ,这 时 说 尺 与 R 同 构 , 记 为 RR. 

例 3.30 设 R=Z,R=2Z,,9: Z>2Z,wa PLaj= 二 pl(a), 则 yg 是 R 到 R 的 同 态 
满 射 , 因 为 Ya,bER,g(a 二 +b)=[a 十 5]=[aj 十 [56]=g(a) 二 pg(6)， 

pla* b)=[a* 0]=[ajLb]=¢9(a) * 9g(b), 

且 VY[aj€ER, 存 在 a€ER, 使 得 g(a)==[a], 所 以 og 是 R 到 RR 的 同 态 满 射 . 

设 R 是 环 ,I4R, 规 定 a~b 兮 a 一 bET, 则 这 个 关系 是 R 的 元 间 的 一 个 等 
价 关系 ,决定 尺 的 一 个 分 类 : 

[a]={6|6~a,bER}, 令 R={[aJla€ER}. 

蔡 尽 规定 加 法 : [aj 十 [5]=[a 十 60]; 

蔡 尺 规定 乘法 : [aj *， [6]==[a* 6]. 

不 难 证 明 加 法 和 乘法 定义 合理 , 即 与 代表 元 无 关 , 事 实 上 

由 [aj==[a ],[5]==[6 疏 ,得 

(atD)—(a' 二 5)=(a 一 a ) 十 (6 一 65)EI， 因 此 [a+b]=[a’ 十 b']. 
ab 一 al 十 ab' 一 a'b’ =a(b 一 0 ) 十 (a 一 a yb ET, 因此 Lab]= 




















La ]; 

不 难 证 明 尺 对 加 法 作成 一 个 加 群 ,乘法 适合 结合 律 ,乘法 对 加 法 满足 分 配 
律 ,从 而 RR 作成 一 个 环 , 称 为 RR 模 I 的 剩余 类 环 , 记 作 R/TI. 

例如 ,R=Z,T=={nk|kEZ), 则 T=(n) 4 R. 规 定 a~b 仿 a 一 bET, 则 ~ 是 Z 
的 元 间 的 一 个 等 价 关系 ,决定 的 分 类 : Z, 二 {[0j,[1],…,[n 一 1]) 就 是 模 的 剩 


定理 3. 10( 同 态 基本 定理 ) 设 R~ 玉 是 一 个 环 同 态 满 射 , 令 工 表示 玉 中 堆 
元 的 原 像 , 即 

I=Kerg={a€E Ri|g(a)=0}, 则 : 

《区 了 有 
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(2) R/ISR. 

证 (1) Va,oET,rER,p(e 一 六 一 p(o) 一 p(O) 王 0 一 0 一 0 一 < 一 ET， 
plra)=p(r)p(a)=9(r)* 0=0, ra€Ll. 

同样 ,yp(ar)=0,ar€E I>I4R. 


(2) 作 R/T 到 下 的 对 应 ,y: R/I>R,[aJPa=g(a)， 
[a]=[bJSa—bE TI 全 VCa 一 六) 一 PC(a) 一 PC(O) 一 0 全 PC(a) 一 (0). 
“=>” 说 明 y 是 映射 “二” 说 明 y 是 单 射 . 

给 了 如 ,可 找到 g(a): y([a]) 二 g(a)=>y 是 满 射 ,从 而 yy 为 双 射 . 
ylLajti+[L0])=y Lat6])=9(at6)=9a)+p6)=yLaj)+y( [60)). 


同 理 ,y[a]* [6])=y([a])*y([6]), 所 以 R/ISR. 
例 3.31 设 R=2Z 为 整数 环 ,I==(6)=={6k| VEEZ}, 则 R/TI=26={[0]， 
[1],[2],[3],[4],[5]} 就 是 模 6 剩余 类 环 . 


3.5.3 极 大 理想 


下 面 来 讨论 工 满足 什么 条 件 时 , R/T 是 域 . 

定义 3.20 设 R 是 环 ,I4R, 说 I 是 R 的 极 大 理想 ,如 果 J4R,J 了 [全 
$= 
定理 3.11 设 R 是 一 个 有 非 零 单 位 元 1 的 交换 环 , 则 R/T 是 域 守 IT 是 R 的 
极 大 理想 . 


证 R~R/I,a>a=a 十 I 是 RR 到 R/T 的 同 态 满 射 ,p(1) = 了 是 R/T 的 单 
位 元 ， 

“=>”R/IT 是 域 , 域 只 有 零 理 想 和 单位 理想 , 设 J4R,JZ1,J/I 关 0 坟 J/1= 
R/I. YrER, 存 在 jEJ ,使 得 j) 十 [一 r 十 一 r 一 )ET, 存 在 jiET,r 一 ) 一 一 r 一 ) 十 
iEJ, 所 以 J 二 R,I 是 R 的 极 大 理想 . 

“<”V0 夭 zaER/T,(z) 和 天 (0}, (2) 一 R/T, 1 一 .7E(c),7 是 二 的 逆 元 ， 
所 以 R/T 是 域 . 

例 3.32 设 R=Z,p 是 素数 ,I 二 (p), 则 了 是 R 的 极 大 理想 ,从 而 2Z 二 
R/(p) 是 一 个 域 . 

证 设 J4R,J3T, 存 在 2zEJ,zET, 不 整除 n, 于 是 有 (n,p) 二 1, 存 在 s， 
t, 使 得 sn 十 :p= 二 1,snEJ,1pEJ 坟 sn+tp 二 1€J] 和 J 一 R, 所 以 I 是 R 的 极 大 

例 3.33 设 g(z) 是 域 下 上 不 可 约 的 多 项 式 , 则 (g(x)) 是 FLz]j 的 一 个 极 大 
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证 设 R=F[zxj.I 二 (g(x)),J 4R,J 忆 1 存在 f(x)EJ,f(x)&1I,g(zx) 不 
整除 f(x), 于 是 有 (f(x),g(x))==1, 存 在 多 项 式 u(x) ,v(x) ,使 得 u(x)f(x) 十 
v(xz)g(z) 二 1€J ,J 二 R, 所 以 I 是 R 的 极 大 理想 . 从 而 FLz]/(g(Cz)) 是 一 个 域 . 


NN 
4 习题 3. 5 也 
中 现 现 现 殉 现 六 
1. 设 尺 是 整数 环 ,是 素数 ,IT 一 (/) ,证 明 : R/T 是 域 . 
2. 设 R< 玉 是 一 个 环 同 态 满 射 ,14R, 令 了 ={4=g(a)|aE7) ,证 明了 4R. 


3. 设 RXR 是 一 个 环 同 态 满 射 ,T4 忆 , 令 1= {a€ERig(a)=ZET), 证 明 


3.6 ”有限 域 


定义 3.21 有 限 域 中 元 素 的 个 数 称 为 有 限 域 的 阶 . 阶 为 素数 p 的 域 称 为 
素 域 . 

设 p 是 素数 , 模 p 的 剩余 类 环 Z， 就 是 一 个 p 元 有 限 域 . 

例 3.34 二 元 域 GF(2)==2Z, 二 {10,1) 是 最 简单 的 有 限 域 ,其 运算 表 如 下 : 








加 法 表 乘法 表 
二 | 京 | 艺 | 者 
6 | 太 | 阐 | 全 | 站 
| 站 | 唤 i vw | 














从 上 表 可 以 看 出 ,在 GF(2) 上 的 加 法 等 价 于 异 或 运算 ,乘法 等 价 于 逻辑 与 
运算 . 

定义 3.22 若 域 下 真子 集 下 对 EE 的 加 法 和 乘法 也 作成 一 个 域 , 则 下 称 为 
EE 的 子 域 ,E 称 为 域 下 的 扩 域 ,不 含 真子 域 的 域 称 为 素 域 . 

定理 3. 12 对 于 域 下 =2Z, 以 及 下 上 的 不 可 约 多 项 式 g (7x) 二 =x" 十 a,_1x”! 
十 … 十 ao ,总 存在 下 的 扩 域 K= 二 F(a)=={a,_ya”! 十 a,_za” 十 … 十 aia 十 ao a; 
下 ) ,其 中 a 在 上 的 极 小 多 项 式 是 g(x). 因为 每 个 系数 a; 有 p 中 取 法 ,所 以 一 
共有 如 个 元 , 即 | 开 | 一 加 . 














3.6 有限 域 


* 证 9p: F[xj]>F(a),f(x)Pf(a) 是 一 个 环 同 态 满 射 , 令 

I 二 {f(x)EF[zrjiig(f(z))==f(a)= 二 0), 则 I= (g(x)),I14 FL[x]. 由 同 态 
基本 定理 ,F[zxj/(g(x)) 实 K. 因为 g(x) 是 不 可 约 多 项 式 ,所 以 (g(x)) 是 一 个 极 
大 理想 ,因而 FLx]/(g(x)) 是 一 个 域 , 从 而 K 是 一 个 域 . 

所 以 ,剩余 类 环 K' 二 FLz]/(g (zx)) 是 一 个 域 . 它 的 运算 相当 于 多 项 式 运算 
后 模 g(x) 取 余 式 . 定理 3. 12 表明 ,只 要 找到 域 FF 一 Z, 上 的 ?2 (去 记 ) 次 不 可 约 多 
项 式 ,就 可 以 构造 一 个 如 元 有 限 域 ,具有 Z。 上 nn 维 向 量 空间 的 结构 . 

进一步 利用 多 项 式 分裂 域 的 理论 ,可 以 证 明 中 ,对 任意 正 整 数 , 存 在 p” 元 
有 限 域 已 ,具有 同 定理 3. 12 中 域 K 的 一 样 的 结构 , 它 是 素 域 Z, 上 添加 一 个 
次 不 可 约 多 项 式 g (x) 的 根 a 生成 的 域 , 即 它 的 元 是 Z 上 一 不 可 约 多 项 式 的 根 
的 等 的 一 切线 性 组 合 . 

p” 元 有 限 域 在 密码 学 中 通常 记 为 GF(p"). 密码 学 中 用 的 域 多 为 素 域 Z, 或 
GF(2"). 

注意 , 模 p" 的 剩余 类 环 Zy 不 是 域 . 

F[z]/Cg(z)) ,可 以 表示 为 FLz]/(g(z)) 王 {a ix 十 0 az 2 十 十 
az 十 aolaEF},F 一 (0,1,…,b 一 1}. 由 定理 3.12,FLz]/CsCz)) 上 的 加 法 和 乘 
法 可 按 如 下 方法 运算 : 

a(r)BDb(zr)a(r) +b(r) (mod(g (x))), 
az)OBCz) 三 cCz)。p(z)(mod(g(z)7)， 

域 FLx]/(g(x)) 中 的 单位 元 和 零 元 仍 用 1 和 0 表示 . 

车 下 ==2Zi,p(x) 是 下 上 不 可 约 多 项 式 ,GF(2") 二 FL[zx]/(p(x)) 中 所 有 次 数 
小 于 nn 的 多 项 式 表示 为 

Fr =a 12 ta si "+arwtas. 
由 于 系数 wE 2Z, ,因此 每 个 多 项 式 都 可 以 表示 成 一 个 位 的 二 进 制 整数 . 

例 3.35 已 知 p(zx)==zxs 十 x 十 x? 十 x 十 1 是 Z 上 不 可 约 多 项 式 ,GF(2:) 
是 由 p(x) 确 定 的 有 限 域 . 

a(z)= 二 x 十 x 十 x 十 x 十 1,6(x)= 二 x? 十 x 十 1,GF(2s) 上 的 运算 如 下 : 

加 法 : a(x) 十 6(x)==zx' 十 zx! 十 x? 1 Hx 十 1 二 x ?十 x 十 x 十 x?. 

乘法 : a(x)。6b(zx)= 二 zx 十 x 十 zx 十 zs 十 x 十 x 十 x4 十 X 十 1 二 x ?十 zx 十 1， 
乘法 结果 为 除 以 p(x) 的 余 式 ; 

二 进 制 表示 为 (01010111) 申 (10000011) 王 (11010100); 

(01010111)@(10000011)=(11000001) ,用 十 六 进 制 表示 为 157)@183)} 一 
二 的 内 国 
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例 3.36 有 限 域 GF(2?) 上 的 运算 . 设 p(x) 二 x? 十 x 十 1 是 Z: 上 不 可 约 多 
项 式 ,GF(22) 的 元 有 4 个 : 0,e 二 1,/ 二 x,g 二 x 十 1. 注意 ,x? 寺 x 十 1(modp (x))， 
wz 二 1=z(modp (x))s 

f+g=zx 二 zx 二 ll](modp (zx)); 
六 二 这 三 元 (元 十 下 三 于 十 无 十 (1 十 四 三 aaodpkz)D5 






































该 4 元 域 的 加 法 和 乘法 如 下 表 : 
加 法 表 乘法 表 
十 |0|e|lylg 而 | 流 | 涝 | 六 
ololelfr ololololo 
el|lelolglf elolelflsg 
| 0 | 六 | 9 | 六 | 过 | 交 
glw|IF|Ield 可 | 让 | 要 | 各 | 半 
2 
和 习题 3. 6 全 
本 本 本本 


设 2(z) 一 刀 十 z 十 1 是 Z 上 不 可 约 多 项 式 ,GF(23 ) 王 {a 习 十 az 十 aolw 一 0 
或 1} 是 由 p(x) 确定 的 有 限 域 ,GF(2:) 的 元 /==x,g 二 x 十 1, 计 算 /十 g,f，&g， 
32?. 了 在 二 进 制 中 表示 为 (010),g 在 二 进 制 中 表示 为 (101) ,将 计算 结果 /十 g， 
/，g,g? 用 二 进 制 表示 出 来 . 
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对 称 密码 .椭圆 曲线 公 钥 密码 


4.1 对 称 密码 


4.1.1 对 称 密码 概述 


经 典 密码 一 般 将 加 密 算法 保密 ,而 现代 的 对 称 加 密 技术 则 公开 加 密 算法 ,加 
密 算法 的 安全 性 只 取决 于 密 钥 ,不 依赖 于 算法 . 现代 对 称 密码 分 为 两 类 : 分 组 密 
码 (block ciphers) 和 流 密码 (stream ciphers) ;分 组 密码 也 称 为 块 密码 , 它 是 将 信 
息 分 成 一 块 (组 ) ,每 次 操作 (如 加 密 和 人 解密) 是 针对 一 组 而 言 ; 流 密码 也 称 序列 密 
码 , 它 是 每 次 加 密 ( 或 解密 ) 一 位 或 者 一 个 字 节 . 

一 个 对 称 密码 系统 可 记 为 $={M,C,K,E,D), 其 中 ,M,C,K,E,D 分 别 表 
示 明 文 、 密 文 、 密 钥 加密、 解密 .用 密 钥 K 对 明文 M 加 密 表示 为 Ex (M) ;用 密 钥 
K 对 密 文 C 解密 表示 为 Dk(C). 

加 密 . C= Ex (M); 

解密 : M= Dx(C)=Dx (Ex (M)). 

在 对 称 密码 系统 体制 中 ,加 密 解 密 密 钥 相同 . 

一 个 可 实际 应 用 的 安全 密码 系统 应 该 满足 : 

(1) 已 知 明文 M 和 加 密 密 钥 K 时 ,计算 C 王 Erk (M) 容 易 ; 

(2) 加 密 算 法 必须 足够 安全 ,破译 者 在 不 知 解密 密 钥 K 时 ,由 密 文 C 算出 
明文 M 不 可 行 ; 

(3) 对 称 密码 必须 保证 产生 的 密 钥 能 安全 地 传送 给 对 方 ; 

(4) 对 称 密码 系统 的 安全 性 只 取决 于 密 钥 的 保密 ,而 不 依赖 于 密码 算法 的 保密 . 


4.1.2 分 组 密码 DES 


DES 是 美国 国家 标准 局 于 1977 年 发 布 数据 加 密 标 准 (Data Encryption 
Standard,DES) ,用 于 非 军 事 的 加 密 , 由 IBM 的 Feistel 团队 研发 ,是 分 组 密码 的 
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典型 代表 ,现代 多 数 分 组 密码 也 是 参考 了 Feistel 密码 结构 , 即 分 为 左右 两 半 的 
结构 . 

DES 同时 使 用 了 代 换 和 置换 两 种 加 密 方法 ,DES 加 密 的 简略 过 程 如 图 4-1 
所 示 . 





图 4-1 DES 加 密 算法 流程 图 


DES 加 密 过 程 详细 描述 如 下 : 

假设 信息 是 由 {0,1} 组 成 的 字符 串 ,已 被 分 成 64 位 的 块 ,置换 IP 是 56 位 ， 
加 上 奇偶 校 验 位 ,也 是 64 位 ,mw 二 mmzmsa*…mes:IP 二 kkk3…kes ,这 里 ks ,ki ， 
ka4，… ,ket 是 奇偶 校 验 位 . 





' 
kikska…ka 表 示 置 换 ( | 


kl k: ks … ke 
第 一 步 , 对 m 进行 初始 置换 IP (Initial Permutation,IP) ,m>IP(m). 
例如 ,TP 二 58 50 42 34…7, 前 半 是 偶数 ,后 半 是 奇数 

58 50 42 34 26 18 10 2 


60 52 44 36 28 20 12 4 
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62 54 46 38 30 22 14 6 
64 56 48 40 32 24 16 8 
57 49 机 33 25 17 9 1 
59 51 43 35 27 19 11 3 
61 53 45 37 29 21 了 5 


63 55 47 39 ‘31 23 WH5 了 


则 TP Gn) = mss msonmaz maa "em7. 
第 二 步 , 将 置换 后 数据 mm 分 成 两 部 分 : 左 半 部 分 L。 和 右 半 部 分 Ro。 各 32 
位 . 划分 方法 的 原则 是 偶数 位 移 到 左 半 部 ,奇数 位 移 到 右 半 部 , 即 


Lo= mss mso 71242 77134 M26 Mg Mo M2 
meo Ms2 71244 71236 77128 M20 M2 M4 
71162 71154 71146 M38 71130 M22 77214 Me 
me4 Tise Th48 Ma0 M32 M24 Te m8 
R= msr Wg Ma Maa Mos M17 My Mi 
msg msi 43 mas M2r Mg M1 M3 
77161 TNs3 T7145 T7137 77129 77121 77213 ns 


即将 IP(m) 分 成 长 度 都 是 32 位 的 L。 和 Ro. 

令 工 = 二 Ro ,Ri 二 Lo 电 f(Ro ,Ki), 可 表示 为 Ti(Lo ,Ro)==(Li ,Ri). 

一 般 地 ， 

Lo=Riny R=LaDR LR)s 

这 里 ,表示 二 元 域 按 位 的 加 法 , 即 0@80=0,0@81=1,1@0=1,1@1=0; 
/(R,K) 是 一 与 子 密 钥 K 相关 的 将 01 串 R 映射 成 32 位 01 串 的 映射 ;可 表示 为 
TEsRE OD R120n3165 共 /16 轮 代 换 3 

第 三 步 , 令 S(Lis ,Ry ) 二 (Ris ,Le), 即 左右 互 换 , 输 出 64 位 密 文 

Gn 

整个 过 程 可 表 为 CIP-!(SCTie(Tis(…TeCT CIPGCOn))…)))))， 

DES 每 轮 结构 

DES 的 每 轮 结构 如 图 4-2 所 示 ,描述 如 下 : 

上 一 轮 的 右边 Ri-: 直接 变换 为 下 一 轮 的 左边 L, 即 L; 二 Ri;1; 上 一 轮 的 左 
边 工 -: 与 加 密 函 数 f 异 或 后 作为 下 一 轮 的 右边 R;, 即 R;==L;_18f (Ri_1,K;). 
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总 
(RK) 


图 4-2 DES 每 轮 结构 图 


JR- ,Ki) 的 算法 : 假设 已 产生 48 位 子 密 钥 K; (i 二 1,2,…,16), 先 用 如 
图 4-3 所 示 扩 展 置 换 玉 将 Ri;_1 扩 展 为 48 位 . 





图 4-3 扩展 置换 E 


例如 ye 二 7]2177227723 71232 ， 则 E(Ri 1 ) = 32 T2374 Ms N47N5 *** M32 7721 ， 
共 48 位 . 

再 将 E(R;_1) 中 K; 分 为 8 组 ,每 组 6 位 输入 到 对 应 的 S 盒 ;每 个 S 盒 输出 4 
位 , 共 32 位 ,然后 经 置换 P 输出 32 位 (如 图 4-4 所 示 ). 












CR_KD)G2 位 ) 


图 4-4 ”加密 函 数 f 的 计算 过 程 


4.1 对 称 密码 





8 个 S 盒 是 DES 保密 性 的 关键 所 在 ;S 盒 是 DES 中 唯一 的 非 线性 运算 , 描 
述 如 下 : 

S 盒 有 6 位 输入 ,4 位 输出 ;每 个 S 盒 都 由 4 行 ,表示 为 (0,1,2,3) 和 16 列 
(0,1,…,15) 组 成 ,如 图 4-5 所 示 . 

对 每 个 S 盒 ,将 6 位 输入 的 第 一 位 和 最 后 一 位 组 成 一 个 二 进 制 数 , 用 于 选择 
edhet 用 中 间 的 4 位 选择 S 盒 16 列 中 的 一 列 , 行 列 交叉 处 的 十 进 制 数 ， 
转换 为 二 进 制 就 是 4 位 输出 值 ; 每 个 S 盒 输出 4 位 ,经 过 8 个 S 盒 后 共 输出 32 
位 数据 . 

例如 对 于 Si 盒 而 言 , 如 果 输入 为 001111, 则 行 是 01, 即 盒 的 第 2 行 , 列 
pa 7, 即 Si 盒 的 第 8 列 , 该 处 的 值 是 1, 转 换 为 二 进 制 数 为 0001, 即 

为 Si 盒 输出 的 4 位 . 
































I 413 1 271511 8 310 617 5 9 0 7 
&| 015 7414 213 110 612119'5 3 8 
4 114 813621115129 731050 
1512 824917511 31410 0 613 
15 18146113497 21312 0 510 
|313 4715 281412 0 110 6 911 5 
?| 014 71110 413 1 5 81269 3 215 
13 810 13154211 67120 5149 
10 09146 315 5 11312 711 4 2 8 
S|13 70934610 2 8 514121115 1 
13 6498153 011 1212 51014 7 
11013 0698741514 311 5 212 
71314 306910 128 51112 415 
sl13 811 56150347212 11014 9 
10 6 9 01211 71315 13145 2 8 4 
315 0610 113 894511127 214 
212 4 171011 6 8 5 31513 014 9 
sl1411 212 4 713 1 5 01510 39 8 6 
42 110 7 Sl 9263 0 
11 812 7 114213 6150 910453 
12 11015 9 268013 3 414751l 
Sl1015 4 2712 9 56 11314011 3 8 
91415 52 812370410 11311 6 
432129 515101114 17560 813 
411 21415 08133129751061 
sll13 0o1 74 9110143 512 215 8 6 
1 4111312 3 7141015 68035 9 2 
61113 8 1410 79 5015142 312 
13 2 8 461511 110 931450127 
s| 11513 810 374125 611 014 9 2 
s| 711 4 191214 2 0 6101315 3 5 8 
2 114 7410 81315129 03 5 611 
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然后 经 置换 已 输出 32 位 数据 , 见 图 4-6. 





1 15 23 26 5 18 31 10 
有 3 23 WW 3227 3 9 
扒 入 多 6 入 让 冶 当 





图 4-6 置换 P 


这 个 过 程 描述 了 加 密 函 数 /(R;_1,K;) 是 一 与 子 密 钥 K; 相关 的 将 32 位 映 
射 成 32 位 的 映射 ;如 果 用 互 表示 将 48 位 压缩 到 32 位 的 8 个 S 盒 的 映射 ,表示 
出 来 就 是 ; f(R;_1,Ki)=P(H(E(R;_1)®DK.,)); 

Ti(LiisRii)=(RiisLi 1 DP(H(E(R i OK))) 
就 是 第 i 轮 .经 过 16 次 迭代 后 ,再 交换 左右 32 位 ,合并 为 64 位 作为 输入 ,最 后 
进行 逆 初始 置换 TP-:! 输 出 密 文 . 

闭 初 始 置换 TP 一 见 图 4-7. 解 密 过 程 根据 加 密 表 达 式 向 前 反 推 即 可 . 主要 不 
同 是 将 密 文 作为 算法 的 输入 ,第 1 轮 使 用 子 密 钥 Ki ,第 2 轮 使 用 子 密 钥 Kis ,最 
后 一 轮 使 用 子 密 钥 Ki. 


8 
六 
6 
EE 
4 
3 
2 
1 





图 4-7 逆 初 始 置换 


DES 子 密 钥 的 产生 

DES 加 密 过 程 共 迭代 16 轮 , 每 轮 用 一 个 不 同 的 48 位 子 密 钥 K;, 子 密 钥 由 
56 位 密 钥 产生 ,DES 算法 的 输入 密 钥 长 度 是 64 位 ,每 行 的 第 8 位 主要 用 于 奇偶 
校 验 ,加 密 只 用 了 其 中 的 56 位 ,如 图 4-8 所 示 . 

56 位 密 钥 首先 经 过 置换 PC-1 将 其 位 置 打 乱 重 排 ,将 前 28 位 作为 Co ,如 
图 4-9 所 示 的 上 面部 分 ,后 28 位 作为 De ,如 图 4-9 所 示 的 下 面部 分 . 























图 4-8 DES 的 输入 密码 选择 的 范围 图 4-9 置换 PC-1 
接 下 来 如 图 4-10 所 示 , 经 过 16 轮 ,产生 16 个 子 密 钥 . 


输入 56 位 密 钥 





循环 左 移 MD 他 


循环 左 移 h(1D) 位 














循环 左 移 h(2) 位 









循环 左 移 h(16) 位 


CE 的 


图 4-10 子 密 钥 的 产生 过 程 





每 一 轮 迭 代 中 ,C 和 D;_1 循 环 左 移 1 位 或 者 2 位 ,如 图 4-11 所 示 . 
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迭代 次 数 1 2 345678910111213141516 
移 位 六 数 ” 二 轴 训 这 次 区 及 各 加 这 骂人 1 








图 4-11 每 轮 左 移 位 次 数 


Ci-1 和 Di;_1 循 环 左 移 后 变 为 C 和 Di, 将 C; 和 DD; 合 在 一 起 的 56 位 ,经 过 
图 4-12 所 示 置 换 PC-2, 从 中 挑 出 48 位 作为 这 一 轮 的 子 密 钥 . 





图 4-12 置换 PC-2 


例如 ,CiD;==616s63…bs6 ,Ki 二 D401bn ba010s03…b3s02o03， 其 中 65,…8 位 
没 挑 . 

再 将 C; 和 D; 循环 左 移 后 ,使 用 置换 PC-2 产生 下 一 轮 的 子 密 钥 ,如 此 继 
续 , 产 生 所 有 16 个 子 密 钥 . 

DES 的 解密 和 加 密 过 程 类 似 , 只 是 将 其 过 程 倒 过 来 . 

DES 的 强度 讨论 

DES 从 发 布 时 起 ,就 备 受 争议 ,争论 的 焦点 主要 集中 在 密 钥 的 长 度 .迭代 次 
数 以 及 S 盒 的 设计 ,有 可 能 产生 子 密 钥 都 一 样 的 弱 密 钥 的 情况 ,或 产生 部 分 子 密 
钥 一 样 的 半 弱 密 钥 的 情况 . DES 的 密 钥 置换 后 分 成 两 半 ,每 一 半 各 自 独立 移 位 . 
如 果 每 一 半 的 所 有 位 都 是 “0? 或 者 “1”, 那 么 在 算法 的 任意 一 轮 所 有 的 子 密 钥 都 
是 相同 的 . DES 的 安全 性 主要 依赖 S 盒 . 

DES 的 S 盒 设 计 原 则 

S 盒 是 DES 核心 ,1976 年 ,美国 国家 安全 局 披露 了 S 盒 的 几 条 设计 原则 ; 

(1) 每 一 个 S 盒 的 每 一 行 是 整数 0 到 15 的 一 个 置换 ; 

(2) 每 个 S 盒 的 输出 都 不 是 输入 的 线性 或 者 仿 射 函 数 ; 

(3) 改变 S 盒 的 一 个 输入 位 ,其 输出 至 少 有 两 个 位 发 生变 化 ; 

(4) 对 于 S 盒 和 任何 输入 z,SCz) 和 SCz 中 001100) 至 少 有 2 个 位 不 同 , 其 
中 迟 的 长 度 为 6 位 ; 

(5) 对 于 S 盒 和 任何 输入 xz, 以 及 e,fE1{0,1),S(z) 关 S(x 旬 11e f 00), 其 
中 并 的 长 度 为 6 位 ; 
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(6) 当 S 盒 的 任 一 输入 位 保持 不 变 , 其 他 5 位 输入 变化 时 ,输出 数字 中 的 0 
和 1 的 总 数 接近 相等 . 

S 盒 设 计 详 细 标准 至 今 没有 公开 ,但 分 析 表 明 S 盒 是 被 设计 成 能 够 防止 差 
分 密码 分 析 ,所 谓 差分 密码 分 析 的 基本 思想 是 : 通过 分 析 特 定 明文 对 的 差 与 相 
对 应 的 密 文 对 的 差 的 影响 来 获取 密 钥 . DES 是 将 Lucifer 算法 作为 标准 ,Lucifer 
算法 的 密 钥 长 度 为 128 位 ,但 DES 将 密 钥 长 度 改 为 56 位 ,有 2” 守 7.2X10* 个 
可 能 密 钥 , 若 以 每 秒 搜索 100 万 个 密 钥 计算 , 须 2282 年 ,1998 年 电子 边境 基金 
会 (EFF) 通 过 互联 网 上 的 10 万 台 计 算 机 合作 , 仅 用 22 小 时 15 分 找到 了 56 位 
的 DES 密 钥 ;这 说 明 DES 不 足以 抵抗 并 行 穷尽 密 钥 搜 索 攻击 . 除了 穷 举 攻击 
外 ,DES 也 不 足以 抵抗 差分 密码 分 析 和 线性 密码 分 析 口 ]. 

由 于 DES 存在 安全 问题 ,美国 政府 于 1998 年 12 月 宣布 了 作为 美国 联邦 新 
的 加 密 标准 AES , 译 成 中 文 就 是 高 级 加 密 标准 . 


de FA, 

















习题 4.13 
Se oe ede 
对 于 Ss 盒 而 言 ,如 果 输 入 为 010101, 则 行 是 , 列 是 小 
制 是 , 即 S, 盒 的 第 列 ,该 处 的 值 是 ,转换 为 二 进 制 数 
为 , 即 为 S 盒 的 输出 4 位 数据 . 


4.2 高 级 加 密 标 准 AES 


高 级 加 密 标准 (Advanced Encryption Standards,AES) 是 分 组 长 度 为 128 
位 的 对 称 分 组 密码 , 密 钥 长 度 支持 128 位 .192 位 .256 位 .美国 国家 技术 研究 所 
(National Institute of Standards and Technology, NIST) 在 1997 年 公开 征集 的 
新 加 密 标准 ,评估 准则 是 : 安全 性 、 计 算 效 率 、 算 法 的 灵活 性 简洁 性 以 及 硬件 与 
软件 平台 的 适应 性 等 方面 ;NIST 共 收 到 21 个 提交 的 算法 ,在 从 中 直选 出 5 个 候 
选 算法 ,最 终 Rijndael 算法 于 2000 年 10 月 被 选 为 高 级 加 密 标准 . 

5 个 候选 算法 是 : 

(1) MARSCIBM 公司 的 团队 研发 ), 对 它 的 评价 是 算法 复杂 、 速 度 快 .安全 
性 高 ; 

(2) RC6(RSA 实验 室 研发 ) ,对 它 的 评价 是 极 简单 速度 极 快 .安全 性 较 低 ; 

(3) Rijndael( 比 利 时 Joan Daemen 和 Vincent Rijmen 研发 ) ,对 它 的 评价 是 
算法 简洁 、 速 度 快 .安全 性 好 ; 
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(4) Serpent(Ross Anderson,Eli Biham 和 Lars Knudsen 研发 ) ,对 它 的 评 
价 是 算法 简洁 .速度 慢 安全 性 极 高 ; 

(5) Twofish(Counterpane 公司 的 团队 研发 ) ,对 它 的 评价 是 算法 复杂 速度 
极 快 .安全 性 高 . 

这 些 评估 是 当时 的 结果 ,安全 性 计算 效率 ,算法 的 灵活 性 简洁 性 也 是 相对 
而 言 的 ,因此 ,这 些 算法 对 于 分 组 密码 的 设计 与 研究 仍然 具有 参考 意义 . 


4.2.1 AES 中 的 基本 算法 


先 介 绍 AES 中 的 一 些 基 本 运算 方法 . AES 算法 中 有 些 是 以 字 节 为 单位 进 
行 运算 ,也 有 的 是 以 4 个 字 节 ( 即 一 个 字 ) 为 单位 的 ,AES 将 一 个 字 节 看 作 是 在 
有 限 域 GF(2*) 上 的 一 个 元 素 ,一 个 字 看 成 系数 是 GF(2*) 上 上 且 次 数 小 于 4 的 多 
项 式 . 
多 项 式 的 加 法 是 同 次 项 系数 的 模 2 相 加 ,如 
(zi 十 wt 十 x? 十 十 1) 十 (ZX 十 zx 十 1)==x ?十 x 十 zx! 十 x?， 
二 进 制 记 法 为 
(01010111)®(10000011)= (11010100),， 
十 六 进 制 记 法 为 
{57}®{83}={d4}. 
GF(2s) 上 的 乘法 记 为 。 再 将 多 项 式 的 乘积 模 不 可 约 多 项 式 m(x) 二 x 十 x' 十 
pda 
用 十 六 进 制 表 示 该 不 可 约 多 项 式 为 {01}{1b}. 
例如 ,{57}。{83) 二 {cl} ,因为 
Cw 二 十 ww 十 ww 十 Lj 十 x 十 区 
十 于 十 井村 天 十 过 十 交 


Xs 十 Xi 十 Xx? 十 zs 十 xz 























zate te Ter tw tw ler r+ lmodm(r)). 
所 得 结果 是 次 数 小 于 8 的 多 项 式 , 可 用 一 个 字 节 表示 . 
在 AES 中 的 倍 乘 函 数 ztime(b(x)) 是 用 多 项 式 z 乘 5(z) 后 再 模 m(x), 即 
ztime(b(z))=rob(r) (mod(m(z))). 

设 b(z)=byzx' 二 bex' 十 bs 十 Bx 十 bs 十 bs 十 bi 十 bo, 则 

Lb(z) = hr Fb +r ihr thr ih + 
如 果 必 二 0, 则 该 结果 已 经 是 取 模 后 余 式 , 即 

Xb(z)=bex’ tbszx’ thor tbazt thr th zr’ thor; 
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如 果 凡 三 1, 则 ztime(O(z)) 王 zO(Zz) 一 7(Cz) 一 zO(z) 十 2(z), 可 通过 字 节 
(16sbsb40b3b2b1bo) 向 左 移 一 位 ,得 到 (16s5s6b45s6z01500) ,再 与 (100011011) 按 位 相 
加 ( 异 或 ) ,去 掉 最 前 面 的 0, 得 到 一 个 8 位 的 数 即 为 结果 . 

例如 {57}，。{02} 二 ztime({57)),zx 二 102). 因为 乘 了 x 后 ,还 未 达到 m(x) 
的 次 数 ， 

(01010111) 向 左 移 一 位 习 (010101110) 首 位 0 去 掉 一 (10101110)== {ae); 

157) 。， {04) 二 xztime ({ae)), x 二 {02}, (10101110) 向 左 移 一 位 一 
(101011100) 首 位 是 1, 与 (100011011) 相 加 并 去 掉 首位 一 





(101011100) 
由 (100011011) 
(01000111) 
{57} »。{04} 二 xtime({ae})=(01000111)={47}; 
{57} 。{08} 二 xtime({47})= {8e}; 
{57}。{10}=ztime({8e)) 一 {07}; (十 六 进 制 10= 十 进 制 16)， 
{57} »。 {13}={57} 。 ({01}®{02}®{10))={57}®{ae}®1{07}= {fe}. 





AES 中 的 字 运 算 : AES 中 32 位 字 用 GF(2*) 上 次 数 小 于 4 的 多 项 式 表示 ， 
即 (as ,az varsao) 用 a(x)= 二 asx’ 十 asx?: 十 a1x 十 ao 表示 ; 令 b(x)= 二 bsx’ 十 box ?十 
biz 二 bo. 

加 法 是 对 xz 同 次 项 进行 相 加 ,a(zx) 十 b(x)= (asbs) zx 十 (qs 四 bs)x! 十 
(a Db r+ (a Dbo); 

乘法 为 c(x)==a(x)*，b(x)(mod(x* 十 1)). 

注意 ,这 里 系数 是 有 限 域 的 元 , 即 是 字 节 (bytes) 而 不 是 位 (bits); 男 外 ,该 4 
项 多 项 式 的 乘法 不 同 于 前 面 的 模 多 项 式 乘法 . 乘法 要 用 两 步 完 成 : 

第 一 步 , 相 乘 : c(x)==a(x)。b(z)==cexs 十 csx 十 Gxt 十 casz? 十 Coz? 十 C1x 十 
Co ,其 中 





ce =as * b;, 

cs=as ® b; Das 。 bs， 

c=a3 * bi Das * bi Da * bs, 

cs =as * bo Das * bi Da * b, Dao bs, 
cz 一 da。 加 中 oa * bi Dao * bs, 


Wr = 过 bo Dao “bi, 








Co=ao * bo. 
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乘法 的 第 二 步 是 模 站 十 1, 化 为 次 数 小 于 4 的 多 项 式 
d(x) 三 c(x) (mod(x!+1)). 
设 j=4k 十 i,zi 二 x*1i 三 xi(mod(x! 十 1)), 所 以 

a(z)=dsx: tdz’ diztdo=cart (cste) rt (ete t+ cote), 
即 
do =ao * bo Das * bi Das * b: Da * bs, 
di=ai * bo Dao * b1Das * bi Bas * bs, 
d; =as * bo Bai * bi Bao * bPDas * bs;, 
ds=as * bo Das * b1 Ba * bPDao 六. 
上 面 等 式 中 的 运算 可 以 用 和 矩阵 形式 表示 为 
do ao ds az | bo 











di al dao aa az|| 0 
cd az ad1 ao | bs 
ds aa az al dao/\bs 


由 于 x! 十 1 不 是 GF(2*) 上 的 不 可 约 多 项 式 , 因 此 与 一 个 4 次 多 项 式 相 乘 的 
乘法 不 一 定 可 逆 , 但 在 AES 中 选择 了 一 个 固定 的 有 逆 元 的 4 项 多 项 式 a(x), 只 
需 (e(z),zt 十 1)=1, 则 w(Cz) 关 于 模 二 十 1 可逆 ,因此 上 面 的 矩阵 可 逆 , 从 而 按 
照 上 面 的 乘法 运算 也 就 有 逆 元 . 

在 AES 中 ,分 组 长 度 是 128 位 ;而 在 Rijndael 算法 中 ,分 组 长 度 和 密 钥 长 度 
分 别 可 以 是 128 位 、192 位 .256 位 ,也 就 是 说 ,如 果 AES 过 到 了 密 钥 长 度 挑战 ， 
可 以 立刻 升级 . 

AES 算 法 中 基本 运算 单位 是 字 节 , 即 8 位 序列 为 一 个 整体 . 如 果 分 组 长 度 
和 密 钥 长 度 都 为 128 位 (16 个 字 节 ), 字 节 数 组 为 : aoaias…as ,排列 成 图 4-13 
(a) 中 的 4 行 4 列 和 矩阵 ;如 果 密 钥 长 度 为 192 位 (24 个 字 节 ) 时 ,组 成 的 矩阵 行 数 
是 4, 但 列 数 为 6, 如 图 4-13(b) 所 示 ; 密 钥 长 度 为 256 位 (32 个 字 节 ) 时 ,组 成 的 
矩阵 行 数 还 是 4, 但 列 数 为 8, 如 图 4-13(c) 所 示 . 
















































































ao | a4 | as lar ao | as | as |alz |als |azo ao | a4 | as |alz |aie |azo |az4 |azs 

al | a5 | ae |als al | as | as |als |alz |azl al | as | as |aas |air |azl |azs |azs 

az | as |alo |al4 az | a6 |alo |alt lais |azz az | a6 |aio |aa4 |ais |azz |az6 |as0 

a3 | a7 |all |a15 as | 47 |a11 |415 |219|1223 Q3 | 27 |211 |415 |219 |223 |227 |231 
(a) (b) (c) 


图 4-13 不 同 密 钥 长 度 下 的 运算 矩阵 
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这 些 和 矩阵 有 4 行 ,分 组 的 列 数 记 为 Nb, Nb 二 分 组 长 度 (bits) 二 32(bits). 显 
然 Nb 可 以 取 的 值 为 4,6 和 8, 分 别 对 应 的 分 组 长 度 为 128 位 、192 位 和 256 位 . 
类 似 地 密 钥 的 列 数 记 为 Nk,Nk== 密 钥 长 度 (bits) 二 32(bits)， NA 可 以 取 的 值 为 
4,6 和 8, 对 应 的 密 钥 长 度 分 别 为 128 位 、192 位 和 256 位 . 

密码 运算 的 中 间 结 果 都 是 以 上 面 的 矩阵 形式 表示 ,密码 运算 的 中 间 结 果 称 
之 为 状态 (state) 数 组 . AES 算法 的 运行 过 程 是 将 需要 加 密 的 分 组 从 一 个 状态 转 
换 为 另 一 个 状态 ,最 后 该 数组 被 复制 到 输出 矩阵 中 ,如 图 4-14 所 示 的 状态 矩 
阵 中 . 











中 间 状 态 





图 4-14 状态 矩阵 的 输入 和 输出 


状态 矩阵 中 每 一 列 的 四 个 字 节 可 以 看 作 一 个 32-bit 字 , 用 行 号 ~ 作为 每 一 
个 字 中 四 个 字 节 的 索引 ;状态 可 以 看 作 列 表示 的 32-bit 字 的 一 维 数组 ,用 列 号 c 
表示 该 数组 的 索引 . 

AES 密码 是 一 种 迭代 式 密码 结构 ,但 不 是 DES 那 种 Feistel 密码 结构 ; 
Rijndael 算法 迭代 的 轮 数 与 分 组 长 度 和 密 钥 长 度 相关 ,AES 算法 迭代 的 轮 数 依 
赖 于 密 钥 长 度 ; 令 Nr 表示 轮 数 , 当 密 钥 列 数 Nk 二 4 时 , Nr 二 10; 当 NA 一 6 时 ， 
Nr 二 12; 当 Nk 二 8 时 ,Nr 二 14. 当 分 组 长 度 和 密 钥 长 度 均 为 128 位 时 ,AES 共 迭 
代 10 轮 , 需 要 11 个 子 密 钥 ,其 加 密 过 程 如 图 4-15 所 示 , 前 面 9 轮 完 全 相同 ,每 
轮 包 括 4 阶段 ,分 别 是 字 节 替换 (byte substitution) , 行 移 位 (shift rows) 、 列 混合 
(mix columns) 和 轮 密 钥 加 (add round key) ,最 后 一 轮 只 3 个 阶段 ,不 含 列 混合 . 


4.2.2 AES 的 加 密 过 程 


AES 的 加 密 过 程 如 图 4-15, 主 要 有 以 下 4 种 变换 . 
(1) 轮 密 钥 加 就 是 把 128 位 的 state( 中 间 状 态 ) 按 位 与 128 位 的 轮 密 钥 按 位 
对 应 相 加 ( 异 或 ) ,如 图 4-16 所 示 . 
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图 4-15 AES 加密 过 程 


输出 状态 
回回 硬 四 
四 四 四 加 


回国 加 加 








例如 {47} 旬 { 
注意 ,位 的 加 


图 4-16 轮 密 钥 加 


AC}= (01000111)®(10101100)= (11101011)= {EB)}. 
法 1 加 1 二 0, 不 进位 ;最 初 state 是 明文 . 





(2) 字 节 替换 是 一 个 非 线性 的 代 换 ,是 将 状态 中 的 每 个 字 节 利用 S 盒 进 行 
运算 ;S 盒 是 由 16X16 个 字 节 组 成 的 矩阵 ,包含 了 8 位 值 所 能 表达 的 256 种 可 
能 的 变换 ;state 中 的 每 个 字 节 通过 S 盒 被 映射 为 一 个 新 的 字 节 : 将 该 字 节 的 高 





4 位 作为 行 值 , 低 
出 . S 盒 被 设计 成 





4 位 作为 列 值 ,然后 取出 S 盒 中 对 应 行列 交叉 处 的 元 素 作为 输 
能 够 抵挡 所 有 已 知 的 攻击 ,如 图 4-17 所 示 . 
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例如 ,十 六 进 制 {95} ,在 图 4-17 对 应 的 S 盒 的 行 值 是 9, 列 值 是 5,S 盒 中 此 
处 的 值 是 {2A} ,因此 {95) 被 映射 为 {(2A}. 




















92 | 9D| 3 F5 | B 
5F | 97|4|17| C4 


| 22 [2A| 90 | 88 | 46 | 





























图 4-17 AES 的 S 盒 


图 4-18 是 一 个 字 节 替换 的 例子 . 





图 4-18 字 节 替换 


S 盒 的 构造 方法 : 

@ 逐 行 按照 上 升 排列 的 方式 初始 化 S 盒 ,第 一 行 是 {00} ,101},…,{OF}; 第 
二 行 是 (10} ,{11},…,{1F} 等 ,因此 在 zx 行 y 列 的 字 节 值 是 {zy}; 

@ 把 S 盒 中 的 每 个 字 节 映射 为 它 在 GF(28) 上 的 乘法 着,100} 映 射 到 它 自 
身 {00}; 

@ 把 S 盒 中 的 每 个 字 节 表示 为 (b16sbs04035zb10o)8 位 ,对 S 盒 中 的 每 个 字 
节 中 的 每 位 做 如 下 变换 : 5; 二 6; 旬 bi44 旬 bi4s 四 bi46 四 bi41 曙 ci, 其 中 ,下 标 是 i 十 
& 模 8 的 余数 ,c; 是 字 节 c= 二 {163} 二 (01100011) 的 第 i 位 . 
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5 表示 该 变量 5b 代 换 后 的 值 ,S 盒 节 
bo 入 仿 殴 
D1 和 
bs Ot) 
路 | ke 
族人. 六 这 天 
的 i I 
bs 站 从 了 7 
pb mn 次: 您 汉 


天 关口 口上 全 


六 


由 
0 
0 
0 
1 
1 


疡 口 口 口 上 上- 王 


1 


换 如 下 : 

















0 | bs 
MB 











如 用 {95) 二 (10010101) 作 为 输入 ,可 以 计算 出 (195) 在 GF(28) 上 的 逆 为 


{8A}) 二 (10001010) ,代入 上 述 变换 有 











SO OO oO Or 


1 


0 
生 
1 


0 





RR 
1 Os | 
1 i | 
i | 
1 | 
0 Wk 
1 
0 i i | 
结果 为 (00101010) 二 {2A}), 与 前 面 查 表 所 得 结果 一 致 . 


一 一 Oo 








(3) 行 移 位 是 一 个 简单 的 置换 ,是 对 state 的 各 行进 行 循环 左 移 位 ;state 


第 一 行 保持 不 变 ,第 二 行 循 环 左 移 一 个 字 节 ,第 三 行 循环 左 移 两 个 字 节 ,第 四 行 
循环 左 移 三 个 字 节 ,如 图 4-19 所 示 . 


Su | S12 S10 
Wy | Ss $2,1 





加 本 四 四 

















图 4-19 


(4) 列 混合 变换 在 state 上 按照 每 一 列 c(c 列 是 一 


的 




















A6| sc | pg | 95 





行 移 位 


(b) 行 移 位 举例 


将 每 一 列 看 作 4 项 多 项 式 ,即将 state 的 列 看 作 GF(2*) 上 的 多 项 式 且 与 多 项 式 


个 字 ,0 志 c 二 Nob) 进行 运算 ， 


4.2 高 级 加 密 标准 AES 


af(z) 一 {03}zs 十 {01)z2 十 (01}z 十 {02} 


相 乘 后 模 六 十 1. 
列 混合 可 以 写成 矩阵 的 乘法 ,与 列 向 量 的 线性 变换 一 样 . 令 s(x)==a(x)@ 
s(x), 则 
Soy 02 03 O01 OLNTsoe 
im 访 W109 而 | 
CF 01 01 02 03 网 | 
二 O08 0 ‘01 本 作品 
上 式 相 当 于 





she =({02} » $s0,.) BH{03} 中 vc 路， 

5 一 so 四 ((02) » 51,)B({03} ss 

5 一 so 由 ({02)。 sz) 四 ((03} » $53.0) 

sc=({03} » s0,c) DBs, Dsz,.D({02) » $3,.). 
列 混合 计算 过 程 如 图 4-20 所 示 . 











02 03 01 01 
01 02 03 01 
01 01 02 03 





03 01 01 02 


图 4-20 列 混合 举例 


具体 计算 过 程 如 下 : 
47 二 (02，。87) 电 (03。6E) 中 (01，46) 虽 (01，A6), 其 中 
02。87 二 02 。10000111s 二 00001110s@00011011s 二 00010101s 二 15; 
03。6E =(01®02) . 6E= (01* 6E)®(02 . 6E) 
=01101110s®(11011100s)=10110010s= B2; 
01. 46=46,01* A6=A6,15®DB2@46@@A6=47. 


4.2.3 AES 的 密 钥 扩展 
当 分 组 长 度 和 密 钥 长 度 都 是 128 位 时 ,AES 的 加 密 算法 共和 迭代 10 轮 , 加 上 
第 1 轮 , 需 要 11 个 子 密 钥 . AES 采用 的 方法 是 将 输入 的 128 位 密 钥 扩 展 成 11 个 


128 位 的 子 密 钥 ,该 算法 是 以 字 为 一 个 基本 单位 ,一 个 字 等 于 4 个 字 节 , 共 32 
位 ,刚好 是 密 钥 和 矩阵 的 一 列 , 因 此 4 个 字 (128 位 ) 密 钥 需要 扩展 成 11 个 子 密 钥 ， 
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共 44 个 字 . 表示 为 w[0],w[1],w[2],…,w[43], 若 Nr 表示 加 密 轮 数 ,那么 密 
钥 扩 展 总 共生 成 NACNr 十 1) 个 字 , 这 里 N56= 行 数 ;由 输入 密 钥 生成 各 轮 密 钥 ， 
称 为 密 钥 扩 展 . 轮 密 钥 选取 按 4 个 一 组 ,如 图 4-21 所 示 . 




















wlw| wl wl wl| wl wl wl wlw| wol wa | we | 
轮 密 钥 0 轮 密 钥 1 轮 密 钥 2 
图 4-21 轮 密 钥 选取 


当 密 钥 为 128 位 时 , 密 钥 的 列 Nk 二 4, 密 钥 扩 展 过 程 如 下 : 

(1) 将 输入 密 钥 直 接 复制 到 扩展 密 钥 数组 的 前 4 个 字 中 ,得 到 w[0],w[1j， 
wL2],wL3]; 

(2) 然后 每 次 用 4 个 字 填 充 扩 展 密 钥 数 组 w 的 余下 部 分 , 设 i 二 4; 

当 数 组 w 下 标 i 不 是 4 的 倍数 时 ,w[]=w[i 一 1]@w[i 一 4]; 

当 数 组 w 下 标 i 为 4 的 倍数 时 ,按照 下 面 方法 计算 : 

@ 将 一 个 字 的 四 个 字 节 循环 左 移 一 个 字 节 ,即将 输入 字 [w ,651 ,6s ,bj 变 为 
区 

@ 用 S 盒 对 输入 字 的 每 个 字 节 进 行 字 节 替 换 ; 

@ 将 步骤 中 和 步骤 四 的 结果 再 与 轮 常数 Rcon[ 门 相 加 ( 异 或 ). 

轮 常数 Reon[i 是 一 个 字 , 这 个 字 的 最 右边 三 个 字 节 总 是 0, 因 此 与 轮 常数 
的 一 个 字 异 或 ,其 结果 是 与 该 字 最 左边 的 字 节 相 异 或 . 

每 轮 的 轮 常数 均 不 同 ,其 定义 为 Rcon[ 门 = (RC[ 直 ,{00),{00} ,100)) ,其 中 
RC[1]= {01}; RC[i]= {02}。(RC[i 一 1]); 用 多 项 式 表 示 为 RC[i] = 
XxX，(RC[i 一 1])==x 1,i 宇 2. 字 节 用 16 进 制 表 示 , 同 时 理解 为 GF (2) 上 的 元 
素 ,x ! 为 GF(2*) 中 的 多 项 式 的 ;一 1 次 方 所 对 应 的 字 节 ;考虑 到 x 对 应 的 字 
节 为 {02) , 轮 常数 也 可 以 写 为 : Reon[i]==({02)!,{00),{00),{00)). 

前 10 个 轮 常数 RC[ 丫 的 值 和 对 应 的 Reoz[Li] 的 值 ,如 表 4-1 所 示 . 这 里 第 
二 行 RC[ 门 的 值 10 十 进 制 为 16. 














表 4-1 RC[i] 和 Reon[ 门 


i 1 2 3 4 5 6 7 8 9 10 





RC[i] 01 02 04 08 10 20 40 80 1B 36 



































Recon[i] | 01000000 | 02000000 | 04000000 | 08000000 | 10000000 | 20000000 | 40000000 | 80000000 | 1B000000 |36000000 


“4.3 ”中国 商用 密码 算法 SM4 


4.2.4 AES 解密 算法 


AES 解密 算法 是 AES 加 密 算法 的 逆 变 换 ;AES 解密 算法 与 加 密 不 同 ,基本 运 
算 中 除了 AddRoundKey( 轮 密 钥 加 ) 不 变 外 ,其 余 的 都 需要 进行 逆 变 换 , 即 逆 字 节 
替换 (InvSubBytes) .逆行 移 位 (InvShiftRows) . 逆 列 混合 (InvMixColumns). 

解密 算法 和 加 密 算法 轮 结构 的 顺序 不 同 , 但 是 加 密 和 解密 算法 中 的 密 钥 编 
排 形式 相同 ;在 加 密 过 程 中 ,其 轮 结构 是 字 节 替换 、 行 移 位 、 列 混合 和 轮 密 钥 加 . 
在 解密 过 程 中 ,其 轮 结构 是 轮 密 钥 加 、 逆 列 混 合 .逆行 移 位 和 逆 字 节 替 换 . 

对 同时 要 求 加 密 和 解密 的 应 用 而 言 , 需 要 两 个 不 同 的 软件 或 者 固件 模块 .可 
构造 一 个 等 价 的 解密 算法 ,由 逆向 变换 取代 原来 的 变换 ,交换 逆 字 节 替 换 和 逆行 
移 位 ,交换 轮 密 钥 加 和 逆 列 混合 . 使 得 解密 时 各 个 变换 的 操作 顺序 与 加 密 相 同 . 
这 样 ,在 一 个 模块 中 就 可 以 实现 加 密 和 解密 . 


4.2.5 AES 的 安全 性 


AES 设计 的 各 个 方面 都 使 它 具 有 能 够 抵抗 所 有 已 知 攻击 的 能 力 ;AES 的 轮 
函数 设计 是 针对 差分 密码 分 析 和 线性 密码 分 析 制 定 的 ,这 种 策略 称 为 基于 宽 轨 
迹 策略 (Wide Trail strategy) , 宽 轨 迹 策略 的 最 大 优点 是 可 以 评估 算法 抵抗 差分 
密码 分 析 和 线性 密码 分 析 的 能 力 ;AES 的 密 钥 长 度 也 足以 抵抗 穷 举 密 钥 攻击 ; 
AES 算法 对 密 钥 的 选择 没有 任何 限制 ,还 没有 发 现 弱 密 钥 和 半 弱 密 的 存在 . 

分 组 密码 除 DES,AES 外 ,还 有 SM4,RC6,CTC 等 分 组 密码 . 








dF oF FA, 


习题 4.23 


So ob 





假设 AES 的 state 矩阵 的 列 , 分 别 是 w% 王 (87),s 一 {6E),s 一 {46)，ss 
{A6} ,验证 ,经 过 列 混合 后 ,si 二 {6E} 被 映射 为 1 二 {37) 


“4.3 中国 商用 密码 算法 SM4 


SM45 轨 于 2006 年 1 月 公布 ,是 用 于 无 线 局 域 网 和 可 信 计 算 系 统 的 专用 分 
组 密码 算法 ,该 算法 的 分 组 长 度 为 128 位 , 密 钥 长 度 为 128 位 ,是 一 种 32 轮 的 迭 
代 非 平衡 Feistel 结构 的 分 组 加 密 算法 . SM4 算法 是 中 国 制定 WAPI( Wireless 
LAN Authentication and Privacy Infrastructure) 标 准 的 组 成 部 分 同时 也 是 中 国 
无 线 局 域 网 安全 强制 性 标准 ,同时 也 可 以 用 于 其 他 环境 下 的 数据 加 密 保 护 . 该 算 
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法 在 国内 被 广泛 使 用 . 

SM4 加 密 过 程 

加 密 过 程 如 图 4-22 所 示 . SM4 分 组 长 度 和 密 钥 长 度 为 128 位 ,数据 处 理 单 
位 为 字 (32 位 ) 和 字 节 (8 位 ) ,密码 算法 采用 非 对 称 的 Feistel 结构 ,基本 思路 是 : 
128 位 明文 分 为 4 个 32 位 的 字 ,一边 1 个 字 , 另 一 边 为 3 个 字 , 经 过 32 轮 和 迭代 变 


换 , 再 将 4 个 字 反 序 变化 后 ,得 到 128 位 密 文 . 
SM4 加 密 过 程 
128 位 加 密 密 钥 
产生 32 个 32 位 轮 密 钥 














Xs Xs Xs Xs 
YY 
图 4-22 ”SM4 加 密 过 程 


SM4 每 轮 结构 

4 全 92 位 的 字 记 为 到 -5 作为 第 证 办 给 大 大 天 0 区 os 
Xi+; 为 第 i 轮 输出 ,这 里 ， 

Kits=f Ri, Xi, Kinis Xs)=X DT(XDX DX Drkii), 
其 中 f 是 轮 函 数 ,TT 为 一 可 逆 变 换 ,rk;_1 为 第 i 轮 轮 密 钥 ,32 轮 输出 Xs, Xs， 
Nv 和 做 反 序 变换 丽 : R(X ss) =r 各 到 最 
终 密 文 ,如 图 4-23 所 示 . 

可 道 变换 了 为 S 盒 计算 的 非 线性 变换 = 和 线性 变换 工 合成 ,又 称 为 合成 置 
换 .z 对 输入 32 位 字 4 个 字 节 A 王 筷 由 Xi 四 和 四 -表示 为 aoyaiyazyaa， 
分 别 用 4 个 S 盒 进行 代 换 ,S 盒 为 固定 的 8 位 输入 8 位 输出 的 置换 ,数据 用 十 六 
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进 制 表示 ,以 输入 的 前 半 字 节 为 行 号 ,后 半 字 节 为 列 号 ,行列 交叉 点 出 的 数据 即 
为 输出 . 例如 ,输入 7c, 则 输出 为 图 4-24 中 S 盒 表 的 第 7 行列 的 值 ao.z 输 出 
的 结果 拼 起 来 是 32 位 , 记 作 B. 


































































































图 4-24 SM4 的 S 盒 





线性 变换 工 : 妃 是 工 的 32 位 输入 ,线性 变换 工 的 输出 C 也 是 32 位 ,C= 
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L(B)=B@(B<<<2)@B(8<<=<=10)@(B<<<=<18)@(B<<=<24), 这 里 
二 二 过 i 表示 循环 左 移 的 位 数 . 
合成 置换 的 输出 值 C 再 与 X;_1 异 或 , 便 得 到 X;;;. 
SM4 密 钥 扩展 
每 轮 密 钥 rko ,rki,… ,rka, 由 加 密 密 钥 MK 王 CMK。 ,MK ,MK ,MK3 ) 通 
过 密 钥 扩展 算法 得 到 ,用 FK 二 (FK。,FKi,FK,,FK;) 表 示 系 统 参数 ,用 CK = 
(CKo,CK1i,CKs,，…,CKs ) 表 示 固 定 参数 ,用 Ko。 ,Ki,K,,…, Ks 表示 中 间 数 
据 ,这 里 ,rk; ,MK;,FK;,CK;,K;, 都 是 32 位 的 字 , 系 统 参数 FK 和 固定 参数 CK 
都 是 在 密 钥 扩展 中 使 用 一 些 常 数 . 
系统 参数 FK 取 值 为 
FKo,=(a3blbac6), FK',=(56aa3350), 
FK: 一 (677d9197) ， FK;s=(b27022dc). 
固定 参数 CK; = (ckiwo ,ckiisckizsckis) (i 二 0,1,2,…,31) 的 产生 方法 ; 通过 
公式 
cky=(4i+j)X7(mod 256), i=0,1,2,.…,31, j=0,1,2,3 
产生 ,其 值 16 进 制 表 示 
00070e15,1c232a31,383{464d,545b6269， 
70777e85,8c939aal ,a8afb6bd,c4cbd2d9 , 
e0e7eef5 ,fc030all1,181f262d,343b4249 ， 
50575e65,6c737a81.888f969d,a4abb2b9， 
coOc7ced5 ,dce3eafl ,f8ff060d,141b2229 ， 
30373e45,4c535a61.686{767d,848b9299 , 
a0a7aeb5 ,bcc3cadl ,d8dfe6ed,f4fb0209 ， 
10171e25,2c333a41,484{565d,646b7279. 
算法 描述 如 下 : 
(1) (Ko, Ki, Ks, Ks)= (MK BFK,, MKIOFK!, MK, DFK;,, MK; 四 
FR;,); 
(2) rk:=Ki+rs=Ki:OT (KinODKis BKisDCK,) ,i=0,1,2,… ,31; 这 里 
TT 变换 与 加 密 算法 中 的 合成 置换 TT 类似 ,只 是 将 其 中 的 线性 变换 工 换 为 
L’: L'(B)=B@(B<<<13)®@(B8<<<23). 
例 4.1 用 SM4 加 密 算法 ,对 一 组 16 进 制 表示 的 明文 用 密 钥 加 密 一 次 . 
明 文 : 01 23 45 67 89 ab cd ef fe dc ba 98 76 54 32 10, 
加 密 密 钥 : 01 23 45 67 89 ab cd ef fe dc ba 98 76 54 32 10. 
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求 每 一 轮 的 轮 密 钥 ,每 轮 最 后 32 位 的 输出 状态 以 及 最 终 的 密 文 . 
解 (1) 第 一 轮 轮 密 钥 rk。 的 计算 : 先 将 加 密 密 钥 MK 按 字 分 为 四 组 
(MKo,MK'1,MK;:,MK;)=(01234567 ,89 abcdef ,fedcba98,76543210). 
由 
FK,=(a3blbac6), FK',=(56aa3350), 
FK;=(677d9197), FK;,=(b27022dc); 
按照 公式 
(Ko ,Ki,K;,Ks)=(MKDFK, ,MKIOFK' ,MK,DFK, ,MK 中 FK:) 
计算 .计算 时 , 先 将 16 进 制 数 化 为 二 进 制 : 
MRK,。,=0000 0001 0010 0011 0100 0101 0110 0111， 
FK,=1010 0011 1011 0001 1011 1010 1100 0110， 


然后 按 位 做 二 元 域 加 法 . 

Ko 一 1010 0010 1001 0010 1111 1111 1010 0001, 
同样 可 以 算出 

Ki=1101 1111 0000 0001 1111 1110 1011 1111, 


天 :一 1001 1001 1010 0001 0010 1011 0000 1111， 
K;=1100 0100 0010 0100 0001 0000 1100 1100. 


CK 二 00070e15 ,化 为 二 进 制 为 
0000 0000 0000 0111 0000 1110 0001 0101. 
K1DK; BK;BCK, =1000 0010 1000 0011 1100 1011 0110 1001， 
化 为 十 六 进 制 为 
82 83 cb 69 ,分 为 四 组 进入 S 盒 , 盒 输出 为 : 8a d2 41 22, 记 为 B. 
再 通过 工 : L'(B)=B@@(B8 二 <<13) 旬 (8 二 二 23) ,得 
L’(B)=0101 0011 1011 0011 0111 1001 0101 1000. 
(2) 根据 公 
rko =K,=Ko OT (KIOK:DBK DCK,) 
=1111 0001 0010 0001 1000 0110 1111 1001, 
十 六 进 制 为 {1 21 86 f9. 


先 将 128 位 的 明文 分 为 4 组 ,Xo ,Xi,X,, Xs ,计算 X=X,DT(X DXD 
X; 外 rko) ,这 里 要 先 计算 X, DX; 划 Xs 旬 rko ,然后 通过 4 个 S 侈 输出 B, 再 由 左 
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移 位 得 到 第 1 轮 的 X, 为 : 27 fa d3 45, Xi ,X。 ,Xa ,Xi , 即 为 第 1 轮 输出 结果 . 
再 按照 SM4 密 钥 扩展 算法 中 的 描述 (1) (2) 的 方法 ,可 以 求 出 每 轮 的 轮 密 
钥 和 后 32 位 的 输出 状态 


rko={12186f9, 
rk, =5a6abl9a, 
rks =367360f{4, 
rke =b6bb89b3, 
rks =a520307c, 
rkyw = c30753ed, 
rk =6988608c, 
rku=44bal4af, 
rkis =d120b428，, 
rkis =cc874966, 
rkzo =e89e641f{, 
rkzs =c7159060, 
rkz =b79bd80c, 
rkzs =0e228aeb, 
rkzs =428d3654， 
rkso =01c{72e5, 


X=27fad345; 
Xe=1lcle22a; 
Xs={87c5bd5; 


X10 =77{4c297; 
Xi 一 27dac07f; 
Xu =b8a5da02; 
X16 =8b952b83; 


Xis 一 2ffc5831; 


Xao 一 af2432c4; 
Xz =55a3ba22; 
Xz 一 6ae7725f; 
Xz =1dcdfal0; 
Xs =eff24fdc; 

X30 =893450ad; 
Xs: =536e4246; 
X=d206965e; 


rk1=41662b61， 
rks=7ba92077， 
rks=776a0c61,， 
rkr=24763151, 
rks=b7584dbd, 
rku=7ee55b57, 
rk =30d895b7, 
rkis =104495al,， 
rk =73b55fa3, 
rk =92244439， 
rkz =98ca0l5a, 
rkzs =99elfd2e, 
rkzs =1d2115b0, 
rkz7 ={1780c81, 
rkz =62293496， 
rka =9124a012， 


Xs=al8b4cb2; 
X;=ccl3e2ee; 

Xs, =33220757; 
Xu 一 7a96f2eb; 
X1s=42dd0f19; 
Xi1s =907127fa; 
X11 = d42b7c59; 
X1s ={69e6888; 
Xz =edlec85e; 
KX, =124bl8aa; 
Xs ={4cbalf9; 

X21 = 2{{60603; 
Xz, =6fe46b75; 
Xs =7b938f4c; 
X=86b3e94f; 
Xss =681edf34. 


最 后 的 Xss ,Xa4 ,Xa ,Xss 就 是 密 文 681edf34 d206965e 86b3e94f 536e4246. 
例 4.2 利用 相同 加 密 密 钥 对 一 组 明文 反复 加 密 1 次 ,观察 密 文 的 变化 . 这 
里 只 列 出 : 王 1000000 的 情况 . 
明 文 : 01 23 45 67 89 ab cdeffedcba9876543210， 
加 密 密 钥 : 01 23 45 67 89 ab cd ef fe dc ba 98 76 54 32 10， 
密 文 : 59 52 98 c7 c6 fd 27 1f 04 02 {8 04 c3 3d 3f 66. 
SM4 解密 
解密 与 加 密 变 换 结构 相同 ,只 是 轮 密 钥 的 使 用 顺序 不 同 ,加 密 时 轮 密 钥 的 使 
顺序 为 (rko ,real ，… ,rks1) ,而 解密 时 轮 密 钥 的 使 用 顺序 为 (rksi ,rkso ，*… ,rko). 
SM4 的 安全 性 
SM4 算法 公布 之 后 引起 了 国内 外 学 术 界 和 产业 界 的 极 大 关注 ,先后 有 学 者 
研究 了 SM4 对 差分 密码 分 析 线性 密码 分 析 等 分 析 方 法 以 及 代数 攻击 、 和 矩阵 攻 
击 的 安全 性 ,迄今 为 止 ,从 专业 机 构 对 SM4 进行 了 分 析 评 价 来 看 ,SM4 算法 是 
安全 的 ,并 没有 发 现成 熟 有 效 的 破解 方法 . 
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4.4 流 密码 


4.4.1 流 密码 的 加 密 过 程 


一 次 一 密 的 密码 是 绝对 安全 的 . 流 密 码 就 是 仿效 一 次 一 密 的 密码 ,是 一 种 简 
单 而 且 安 全 性 很 高 的 密码 . 流 密 码 也 称 为 序列 密码 , 它 是 对 明文 以 一 位 或 者 一 个 
字 节 为 单位 进行 操作 . 

长 的 密 钥 更 安全 ,但 是 长 密 钥 的 存储 和 分 配 都 很 困难 . 流 密码 通常 采 守 
短 的 种 子 密 钥 来 控制 密 钥 流 发 生 器 产生 出 长 密 钥 序列 , 供 加 密 解 密使 用 . 

流 密码 的 加 密 过 程 

设 mma,ms，… ,mi;，… 是 明文 字符 流 ,ki ,ks，…,k;,… 是 密 钥 流 ;ci ,cs，*…， 
ci，… 为 密 文字 符 流 , 则 加 密 变 换 过 程 为 cj; 三 mi 十 k;(mod2) ,表示 为 c;= 二 Elm;)== 
mBDhkisi=1,2,". 

解密 是 加 密 变 换 的 逆 过 程 ,可 用 办 王 D(c) 一 ci 四 心 ,一 1,2,… 表 示 . 

种 子 密 钥 输入 到 密 钥 流 发 生 器 ,产生 密码 流 , 青 通过 与 同时 的 一 位 明文 流 
进行 相 加 ,产生 密 文 流 , 见 图 4-25. 





























种 子 密 钥 k 


密 钥 流 发 生 器 


密 钥 流 右 
由 一 一 





明文 流 m 密 文 流 c, 


图 4-25 流 密码 加 密 过 程 


同步 流 密码 (synchronous stream cipher) 密 钥 流 的 产生 完全 独立 于 明文 或 
密 文 . 
同步 流 密码 只 要 通信 双方 的 密 钥 流产 生 器 具有 相同 的 种 子 密 钥 和 相同 的 初 
始 状 态 , 就 能 产生 相同 的 密 钥 流 ;在 保密 通信 过 程 中 ,通信 的 双方 必须 保持 精确 
的 同步 , 收 方才 能 正确 解密 . 

自 同步 流 密码 (self-synchronous stream cipher) 的 密 钥 流 的 产生 与 明文 或 
者 密 文 相关 ,是 一 种 有 记忆 变换 的 序列 密码 ,在 自 同 步 流 密码 系统 中 , 密 文 流 参 
与 了 密 钥 流 的 生成 ,这 使 得 对 密 钥 流 的 分 析 更 加 复杂 ,因此 对 自 同 步 流 密码 进行 
系统 的 分 析 也 就 更 加 困难 . 
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随机 数 的 产生 : 在 对 称 密码 中 密 钥 、 非 对 称 密码 体制 公 钥 以 及 用 于 认证 的 
临时 交互 号 等 很 多 场合 需要 使 用 随机 数 . 产生 随机 数 有 两 种 常见 方法 : 选取 
真实 世界 的 自然 随机 源 , 如 热 噪声 等 . 这 种 方法 产生 的 通常 被 称 为 真 随机 序列 ， 
真 随机 序列 虽然 有 好 的 随机 性 ,但 在 实际 使 用 范围 内 不 一 定 有 好 的 安全 性 且 很 
难 生成 . @ 通 过 一 个 确定 性 的 算法 ,由 数字 电路 或 是 软件 实现 ,把 一 个 初 值 扩展 
成 一 个 长 的 序列 . 这 种 方法 产生 的 序列 通常 被 称 为 伪 随 机 序列 . 伪 随 机 序列 当 用 
于 流 密码 时 就 称 为 密 钥 流 . 

一 个 好 的 伪 随 机 序列 的 评价 指标 一 般 包 括 : 

(1) 平衡 性 ,1 和 0 的 个 数 应 近似 相等 ,如 果 是 字 节 流 , 则 所 有 的 256 种 可 能 
的 字 节 的 值 出 现 频率 应 近似 相等 ; 

(2) 周期 长 度 , 周 期 越 长 ,密码 分 析 的 难度 越 大 ; 

(3) 游程 分 布 ,连续 1 或 0 的 个 数 称 为 游程 ,游程 不 能 太 长 ; 

(4) 种 子 密 钥 的 长 度 (三 128 位 ); 

(5) 独立 性 ,数据 序列 中 的 任何 数 不 能 由 其 他 数 导 出 ,具有 不 可 预测 性 ; 

(6) 线性 复杂 度 ; 

(7) 自 相 关 函 数 ; 
还 有 伪 随 机 序列 构造 等 性 质 . 

一 般 来 说 ,(1)(2)(3)(4) 是 否 满足 ,容易 通过 检测 得 出 ,而 其 他 的 较 难 检测 ， 
如 是 否 满足 独立 性 , 虽 有 很 多 检测 方法 能 检测 数据 序列 的 非 独 立 性 ,但 是 却 不 能 
证 明 该 数据 序列 满足 独立 性 . 


4.4.2 密 钥 流产 生 器 


流 密码 的 安全 强度 取决 于 它 产生 的 密 钥 流 的 特性 . 无 限 长 且 为 无 周期 的 随 
机 序列 很 难 生成 ,实际 应 用 当中 的 密 钥 流 都 是 由 有 限 存 储 和 有 限 复杂 逻辑 的 电 
路 产生 的 字符 序列 ,由 于 密 钥 流 生 成 器 只 具有 有 限 状态 , 它 产 生 的 序列 具有 周期 
性 ,不 是 真正 的 随机 序列 . 生成 一 个 具有 良好 特性 的 密 钥 流 序列 的 常见 方法 有 : 
线性 反馈 移 位 寄存 器 (Linear Feedback Shift Register,LFSR) . 非 线性 移 位 寄存 
器 (NLFSR) .线性 同 余 法 .混沌 密码 序列 法 有 限 自 动机 等 . 

这 些 方法 都 是 通过 一 个 种 子 ( 有 限 长 ) 密 码 产生 具有 足够 长 周期 的 .随机 性 
良好 的 序列 . 只 要 生成 方法 和 种 子 都 相同 ,就 会 产生 完全 相同 的 密 钥 流 . 

线性 反馈 移 位 寄存 器 
因为 移 位 寄存 器 结构 简单 ,易于 实现 且 运 行 速 度 快 ,所 以 目前 密 钥 流 生成 器 
大 都 基于 移 位 寄存 器 ;m 序列 是 一 种 用 线性 反馈 移 位 寄存 器 产生 的 具有 优良 伪 
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随机 性 质 的 序列 . 

密 钥 流产 生 器 一 般 由 线性 移 位 寄存 器 和 一 个 非 线性 组 合 函数 两 部 分 构成 ， 
其 中 线性 移 位 寄存 器 部 分 称 为 驱动 部 分 , 另 一 部 分 称 为 非 线性 组 合 部 分 . 其 工作 
原理 是 将 驱动 部 分 , 即 线性 移 位 寄存 器 在 7 时 刻 的 状态 变量 x 作为 一 组 值 输入 
非 线 性 组 合 部 分 的 了 ,将 /(x) 作 为 当前 时 刻 的 密 钥 ;驱动 部 分 负责 提供 非 线 
性 组 合 部 分 使 用 的 周期 大 、 统 计 性 能 好 的 序列 ,而 非 线性 组 合 部 分 以 各 时 刻 移 位 
寄存 器 的 状态 组 合 出 密 钥 序列 . 

图 4-26 中 标 有 w ,az ,…，,a-iyan 的 小 方 框 表 示 二 值 (0,1) 存 储 单元 . 











图 4-26 一 个 二 元 域 上 的 反馈 移 位 寄存 器 


例如 Fr 一 cm 十 cz 十 … 十 cz 表示 线性 反馈 移 位 寄存 器 , 则 

wat =Ci0w ca + "Tm 这 时 输出 al ,寄存 器 状态 变 为 Q2yd3，…， 
Ws 

线性 同 余 法 

随机 数 序 列 {X,) ,n 过 0, 通 过 迭代 X,+ 1 三 aX, 十 c(modm) 获 得 ,其 中 ,0 二 
a=m,0<c<m; 

Xu 称 为 种 子 或 者 初始 值 ,并 且 0 三 X。 二 m, 该 算法 称 为 混合 线性 同 余 法 .a， 
cm 的 取 值 是 产生 高 质量 的 随机 数 的 关键 . 例如 , 当 a=7,c==0,m 二 32, Xo 二 1 
时 ,生成 的 数列 为 {1,7,17,23,1,7,…) ,该 数列 的 周期 为 4, 周 期 太 短 , 不 宜 作为 
密 钥 序列 ,与 模 32 中 的 32 较 小 有 关 ; 合 理 地 选择 a,c,m, 可 以 使 重复 的 周期 较 
长 . 当 随机 数 周期 达到 模 时 , 则 其 周期 为 最 大 周期 . 这 说 明 : 一 方面 , 模 m 要 取得 
足够 大 ; 另 一 方面 ,要 尽 可 能 地 使 周期 达到 最 大 周期 . 

非 线性 同 余 法 

在 下 面 的 表述 中 ,用 一/ mod m 表示 5 二 mk 十 a,0 二 a 二 m, 即 取 余 运算 . 非 
线性 同 余 (nonlinear congruential) 法 的 随机 数 序 列 {X,),n 宇 0, 通 过 X41 二 f(X,) 
mod m 迭代 获得 ,一 些 非 线 性 同 余 发 生 器 的 区 别 主要 是 函数 f 不 同 . 

线性 同 余 发 生 器 : Xti 二 aX 十 b mod m， 

二 次 同 余 发 生 器 : X, 一 CX2: 十 0X, 十 c mod m， 

BBS 发 生 器 : X ,一 X2 mod m， 

















第 4 章 ”对 称 密码 .椭圆 曲线 公 钥 密 码 


寡 同 余 发 生 器 : X,41 = 二 Xs mod m， 

指数 同 余 发 生 器 : X41 二 g* mod m， 

混沌 随机 数 发 生 器 ,等 等 . 

混合 光学 双 稳 模型 的 迭代 式 为 X,+1 二 [Asin? (X, 一 Xs)j, 其 中 A 和 Xs 是 
迭代 式 的 系数 , 当 A 二 4, Xs 二 2.5 时 方程 处 于 混沌 状态 .根据 该 方法 生成 混沌 序 
列 {X;) ,可 以 获得 不 同 的 0 和 1 序列 .在 混沌 区 的 数据 具有 两 个 显著 的 特性 : 迭 
代 不 重复 性 和 初 值 敏感 性 . 当选 定 一 个 迭代 式 和 适当 的 参数 ,方法 将 进行 无 限制 
不 循环 地 迭代 ,这 种 状态 称 为 混沌 状态 . 

某 些 函 数 (如 密码 学 中 的 加 密 函 数 , 单 向 函数 ) 可 以 用 于 产生 伪 随 机 数 , 方 法 
是 首先 选取 随机 种 子 ;, 然 后 青 将 函数 应 用 于 序列 s,s 十 1,s 十 2,… ,进而 输出 序 
列 js) ,f(s 十 1) ,f(s 十 2),…. 例 如 ,可 以 取 加 密 函 数 DES, 或 者 下 一 章 将 介绍 
的 hash 函数 等 








4.4.3 ”RC4 算法 


RC4 算法 是 RSA 数据 安全 公司 在 1987 年 发 布 的 一 种 同步 流 密码 ,RC4 算 
法 非常 简单 ,就 是 查找 表 和 修改 表 . 是 针对 字 节 流 进行 加 解密 算法 ,因此 RC4 算 
法 非常 适合 加 密 解 密 的 软件 实现 . RC4 算法 的 强大 在 于 数据 表 S 是 随 着 密 钥 流 
输出 而 变化 的 . 数据 表 S 一 旦 完成 初始 化 ,种 子 密 钥 将 不 再 使 用 . 
RC4 算法 描述 如 下 : 
(1) 初始 化 
先 对 数据 表 S 进行 初始 排列 , 即 令 SL0]=0,S[1j]==1,…,SL255j] 二 255, 青 
用 种 子 密 钥 key[0] ,key[1],…,keyLN 一 1 填充 开 L0],KL1],…,KL255], 当 
N<256 时 , 则 重复 用 种 子 密 钥 填充 . 
RC4 初始 化 程序 
for i=0 to 255 do 
S[i=i 
K[i]=key[i] mod N 








od 

二 人 

for i=0 to 255 do 
j=(+S[i]+K[i])mod 256 
swap(S[i],S[7]) 

od 
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(2) 密 钥 流 生成 
RC4 算法 的 关键 是 根据 明文 和 密 钥 生成 相应 的 密 钥 流 ,因为 密 文 第 i 字 
节 王 明文 第 ; 字 节 由 密 钥 流 第 ; 字 节 ,因此 密 钥 流 的 长 度 和 明文 的 长 度 字 节 数 一 
样 .数据 表 S 长 度 为 256 字 节 ,算法 运行 的 任何 时 候 ,S 都 包括 0 一 255 的 8 位 二 
进 制 数 的 排列 组 合 ,只 不 过 值 的 位 置 发 生 了 变换 . 密 钥 K 长 度 为 1 一 256B ,通常 
密 钥 的 长 度 取 16B. 伪 随 机 产生 算法 用 来 选取 随机 元 素 并 修改 S 的 原始 排列 
顺序 . 
密 钥 流 生 成 程序 
i=0;j=0 
while(true)do // 明文 未 加 密 完 的 状态 为 true 
i=(i+1)mod 256 
Jj 一 (十 S[ 门 )mod 256 
swap(S[7],S[7]) 
t=(S[i]+S[j])mod 256 
keystreamByte= S[1] 
od 








La 
4 习题 4. 4 了 
So 
有 一 个 四 级 线性 反馈 移 位 寄存 器 / (zxi ,zz ,xs,X4) 二 x 十 xz ,其 中 初始 值 
(aiyaz yasyai) 一 (1000) , 求 输出 的 前 12 位 . 
(提示 as = 二 f(aiyazyassa4)==1 十 0=1,a6 = 二 f(az sas ;a4 sas)=0+0=0,*…) 
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椭圆 曲线 密码 是 目前 国际 上 公认 的 比较 安全 实用 的 公 钥 密码 . 可 以 认为 是 
给 定 有 限 域 F,(g) 上 一 条 椭圆 曲线 已 ,并 给 定 这 条 曲线 上 的 两 点 已 和 Q, 求 出 正 
整数 d( 如 果 存 在 的 话 ) ,使 之 满足 Q=dP, 已 知 Q,P 求 4 非常 困难 ,qd 就 是 指 所 
给 的 椭圆 曲线 上 的 离散 对 数 ,目前 关于 椭圆 曲线 这 种 问题 还 没有 找到 一 种 有 效 
的 攻击 算法 . 


4.5.1 椭圆 曲线 
有 限 域 F, 上 的 椭圆 曲线 定义 为 EUO, 其 中 O 是 无 穷 远 点 ,而 
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E={(zx,y)|zr,yEF,,H y=xit+azr+to)}. 
椭圆 曲线 玉 上 的 点 的 数目 用 # 玉 表示. 称 为 E 的 阶 .椭圆 曲线 上 点 P( 非 无 
穷 远 点 ) 的 坐标 表示 为 P= (xp ,yp) ,其 中 xp ,yp 分 别称 为 点 P 的 x 坐标 和 yy 坐 
标 , 如 图 4-27 所 示 . 





图 4-27 椭圆 曲线 y= 二 x? 一 3z 十 3 


椭圆 曲线 上 的 点 对 加 法 作成 一 个 群 , 即 : 

(1) EE 有 零 元 O( 无 穷 远 点 ), 对 PEE,O 二 P=P+O=P; 

(2) 对 EE 的 点 P=(xi,y1), 一 P=(xi, 一 y1),P 十 (一 P)=0,0= 一 0; 
(3) 两 点 不 同 且 不 为 负 元 ,P=(x1 ,1),Q= (x2 ,ys) ,R= 二 =P 十 Q 二 (xs ,ys), 则 


2 一 和 一 2 一 255 




















3 一 MGCzI 一 Zs) 一 yy 
A=(ys—yi) (zs —z1) 
信和 点 的 计算 : 给 定 玉 上 的 点 P 和 正 整数 4 ,计算 Q=dP. 
当 d=2,y 了 0,Q==2P= (x3,y3) ,Ts =A :27 ys =Ar mx) yA 
(C3: tad) 
当 4d 宇 3, 用 (3) 所 给 的 方法 计算 . 
上 面 公式 的 推导 见 文献 [1,10j. 
注意 ,点 的 加 法 不 是 对 应 分 量 相 加 . 
例 4.3 已 知 GF(2) 上 椭圆 曲线 EE: y= 二 x 十 x 十 1 上 两 点 P(3,10),Q(9,7)， 
(1) 一 P; (2) P+Q; (3) 2P. 
解 (1) 一 已 的 值 为 (3, 一 10); 
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(2) 一 (7 一 10)/(9 一 3) 王 一 1/2,2 的 逆 元 为 12, 因 为 2X12 二 1(mod23)， 
4 三 一 1X12(mod23), 故 4==11;zs 二 121 一 3 一 9 二 109 三 17 (mod23), ys 二 
11[3 一 (一 6)] 一 10= 二 89 寺 20(mod23), 故 P 十 Q 的 坐标 为 (17,20); 

(3) A=(3(3)+1)(2X10) =5X15=6(m0d23), x3 =36—2X3=30= 
7(mod23) ,ys 二 6(3 一 7) 一 10 二 一 34 三 12(mod23), 故 2P 的 坐标 为 (7,12). 


4.5.2 ElGamal 椭圆 曲线 公 钥 算法 


Alice 要 求 Bob 将 明文 m 加 密 送 回 . 

(1) 密 钥 生成 : Alice 选 定 有 限 域 GF( 因 ) 上 的 一 条 椭圆 曲线 已, 以 及 随机 点 
QEE,Q=(zryy) ,该 点 要 能 生成 一 个 和 椭圆 曲线 已 本 身 所 构成 的 群 一 样 大 或 
接近 的 子 群 . 选 定 一 个 随机 数 cE {1,2,…,p 一 1) ,这 里 p 是 素数 ,并 计算 出 P= 
aQ=(zay), 且 将 Q,P, 已 以 及 明文 到 下 上 点 的 编码 方法 传送 给 Bob,Q,P, 忆 
是 公 钥 ,a 是 Alice 的 私 钥 . 

(2) 加 密 : Bob 收 到 后 随机 取 5E (1,2,…,p 一 1) ,将 明文 m 编码 成 椭圆 曲 
线 正 上 一 个 点 M ,计算 C=(Q,.M 十 OP) , 且 将 密 文 C 传送 给 Alice.bQ 可 以 认 
为 是 Bob 的 公 钥 . 

(3) 解密 : Alice 收 到 C 后 进行 解密 计算 M 十 bP 一 a(bQ) = M 十 baQ 一 
a(bQ) 二 M, 再 通过 编码 恢复 明文 m. 

显然 , 敌 方 如 能 计算 椭圆 曲线 上 的 离散 对 数 , 他 就 能 从 公开 的 信息 Q@ 和 aQ 
中 确定 出 a ,从 而 破译 C. 但 是 ,注意 到 aQ 运算 的 计算 方法 及 从 Q,P 求 a, 也 就 
是 求解 椭圆 曲线 上 的 离散 对 数 ,这 比 求解 一 般 有 限 域 上 的 离散 对 数 困难 得 多 . 因 
此 椭圆 曲线 密码 体制 与 其 他 公 钥 密码 体制 相 比 ,在 密 钥 的 长 度 相同 的 情况 下 , 它 
的 安全 性 要 更 高 些 . 正 是 上 述 这 些 原 因 , 人 们 才 会 对 椭圆 曲线 密码 体制 更 感 

改进 : 如 果 将 a 用 ElGamal 中 的 hs 替代 , 则 可 以 防止 小 子 群 攻击 . 

在 上 面 介绍 EIGamal 椭圆 曲线 公 钥 算法 时 ,并 没有 考虑 极端 的 情况 ,也 就 
是 倍 点 达到 该 点 的 阶 的 情况 . 在 实际 用 于 密 钥 生成 .加密 和 解密 时 ,要 把 这 些 情 
况 排 除 ,才能 保证 加 密 、 解 密 的 正确 性 . 求 椭圆 曲线 上 点 的 阶 有 Satoh 算法 9 、 
Harley 算法 中 \ 复 乘 算 法 中等 ,其 中 Satoh 算法 用 于 求 特征 为 2 的 有 限 域 上 椭 
圆 曲线 上 点 的 阶 , Harley 算法 用 于 求 特征 为 小 素数 p.g 二 p” 的 有 限 域 F, 上 椭 
圆 曲 线 上 点 的 阶 . 


4.5.3 ”中 国 商用 公 钥 算法 SM2 
SM2 是 中 国 国家 商用 密码 管理 局 于 2010 年 发 布 的 公 钥 算 法 5 , 它 的 安全 
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性 是 基于 椭圆 曲线 点 群 上 的 离散 对 数 问题 的 难 解 性 . SM2 是 在 标准 椭圆 曲线 公 
钥 (ECC) 算 法 基础 上 改进 的 一 种 公 钥 系统 ,该 系统 解决 了 从 明文 到 椭圆 曲线 的 
数据 的 编码 和 转化 问题 . 

SM2 公 钥 算法 选择 有 限 域 F, 上 的 椭圆 曲线 , 素 域 F, 的 特征 为 奇 素数 p , 素 
域 中 的 元 用 整数 0,1,2,…,p 一 1 表示 .FF,(p 宇 3) 上 的 椭圆 曲线 为 

y =x tartb,a,bEF,, 有 4a’+270:#0(modp). 

SM2 的 算法 过 程 : Alice 要 Bob 将 信息 mr 加 密 送 回 . 

(1) SM2 的 密 钥 生成 

Alice 选 定 F, 上 椭圆 曲线 玉 和 基点 G ,这 里 g==p 宇 3 为 素数 ,或 go 一 2” ,计算 
点 二 (xp,yp) 二 [djG, 其 中 [djG 表示 椭圆 曲线 上 点 G 的 4 倍 点 .如 果 已 不 是 
无 穷 远 点 O, 且 如 = 二 台 十 axp 十 bs,n 为 点 P 的 阶 , 即 [xjJP=O, 随 机 取 dE€ {1， 
2,…,n 一 2) ,将 公 钥 下 ,G,P 发 给 Bob,d 为 私 钥 , 解 密 用 . 

(2) 加 密 

Bob 先 将 消息 m 转化 为 比特 串 ( 位 二 进 制 串 )M,klen 为 M 的 长 度 . 随机 取 
kE{1,2,… sn 一 1) ,计算 下 上 点 Ci=[A]G=(zy), 将 Ci 的 数据 类 型 转换 为 
比特 串 . 计算 椭圆 曲线 点 ==[k]JP== (zs,y,), 若 S 是 非 无 穷 远 点 将 坐标 x， y。 
的 数据 类 型 转换 为 比特 串 ,否则 重新 选取 A. 

然后 计算 t= 二 KDF(zxs | yw,Rlez), 这 里 KDF 是 密 钥 派生 函数 , | 表示 拼 
接 . 若 :为 全 0 串 , 则 重新 选取 A. 计算 Cs 二 M,Cs 二 Hash(xs 上 M | yw), 这 里 
Hash 是 杂凑 函数 ,将 在 第 5 章 介 绍 .再 将 密 文 C==Ci | Cs | Cs 发 给 Alice. 

(3) 解密 

Alice 对 密 文 C= 二 Ci |‖ C: eC; 进 行 解密 . 先 从 C 中 取出 比特 串 Ci ,将 类 型 转 
换 为 椭圆 曲线 上 的 点 ,验证 Ci 是 否 满足 椭圆 曲线 . 若 不 满足 , 则 报错 并 退出 . 接 
着 计算 椭圆 曲线 点 S= [djC. 

若 SO, 则 报错 退出 . 

若 S 取 0, 将 坐标 za ,ys 的 数据 类 型 转换 为 比特 串 ; 计 算 := KDF (xs | yw， 
klen) , 若 :为 0 比特 串 , 则 报错 退出 . 再 从 C 中 取出 比特 串 Ci ,计算 M 一 C? 中 +; 
计算 x 王 责 asjCzs eM 1 y). 从 C 中 取出 比特 串 C:; 

若 u 关 Cs, 则 报错 并 退出 ; 

车 4 二 Cs, 将 M 转化 为 消息 mm 输出 . 

注 , 算 法 中 虽 有 多 处 报错 的 地 方 , 但 是 实际 运行 时 发 生 这 种 情况 的 可 能 性 并 
不 大 . 
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和 习题 4. 5 训 
第 琵 瑟瑟 琵 呈 六 
ElGamal 椭圆 曲线 公 钥 密码 计算 . 设 y= 二 zx 十 z+ 十 6 是 Zu 上 的 椭圆 曲线 , 椭 
圆 曲线 上 一 个 点 为 P= 二 (2,7) ,假设 Alice 取 的 秘密 整数 4 二 7, 求 : 
( 荡 涩 钢 Q@ 一 7P= (wos 六 入 
(2) Bob 加 密 (9,8) ,选择 随机 数 5 二 6, 求 密 文 ; 
(3) 给 出 Alice 解密 计算 过 程 . 
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非法 窃听 截取、 算 改 和 破坏 等 危及 信息 系统 安全 的 行为 称 为 安全 攻击 , 安 
全 攻击 分 为 主动 攻击 和 被 动 攻击 ,主动 攻击 意 在 算 改 或 者 伪造 信息 、 也 可 以 是 改 
变 系统 的 状态 和 操作 ,主动 攻击 主要 威胁 信息 的 完整 性 、 可 用 性 和 真实 性 . 常见 
的 主动 攻击 包括 ; 伪装 、 算 改 、 重 放 和 拒绝 服务 . 被 动 攻击 的 特征 是 对 传输 进行 
窃听 和 监测 . 被 动 攻击 的 目的 是 获得 传输 的 信息 ,不 对 信息 作 任何 改动 ,被 动 攻 
击 主要 威胁 信息 的 保密 性 ,常见 的 被 动 攻 击 包 括 消息 内 容 的 泄漏 和 流量 分 析 等 . 
密码 攻击 是 常见 的 安全 攻击 之 一 . 

分 析 不 同 密码 算法 的 计算 复杂 性 和 问题 的 复杂 性 可 以 给 出 求解 一 个 问题 的 
计算 是 容易 还 是 困难 ,这 有 助 于 确定 一 个 密码 算法 的 安全 强度 , 当 破译 一 个 密码 
算法 所 花费 的 时 间或 者 空间 代价 超出 了 密码 本 身 所 保密 内 容 的 价值 ,破译 就 没 

问题 的 复杂 性 是 指 该 问题 目前 的 最 有 效 算法 的 计算 复杂 性 . 计算 复杂 性 
粗 分 为 确定 性 多 项 式 时 间 可 解 类 , 即 易 解 的 P 类 ;不 确定 性 多 项 式 时 间 可 解 
类 , 即 难 解 的 NP 类 ;不 确定 性 多 项 式 时 间 可 解 完 全 类 , 即 超 困难 的 NPC 完全 
类 .由 于 NPC 问题 不 存在 有 效 的 算法 ,现在 密码 算法 的 安全 性 都 基于 NPC 
问题 . 

算法 的 复杂 性 表示 算法 在 实际 计算 时 的 计算 量 和 所 需 的 时 间 ,在 图 4-28 
中 ,zx 轴 上 的 数字 表示 xz 的 位 数 ,/(zx) 表 示 利 用 穷 举 计算 所 需 时 间 , 这 里 说 的 穷 
举 计 算是 指 不 用 优化 算法 直接 计算 . 如 果 一 个 密码 算法 具有 指数 级 的 复杂 性 ,就 
认为 它 是 计算 上 不 可 行 的 . 
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图 4-28 不 同 算法 的 时 间 复 杂 度 


分 析 一 个 密码 系统 是 否 安 全 ,一 般 是 在 假定 攻击 者 知道 所 使 用 的 密码 系统 
的 情况 下 进行 分 析 的 , 即 知道 加 密 算 法 、. 密 文 和 明文 的 统计 特性 , 称 为 克 尔 克 和 替 
夫 (Kerckhoff) 假设 . 

对 密码 的 攻击 有 两 种 方法 : 穷 举 攻击 (brute force search) 和 密码 分 析 . 

穷 举 攻击 则 是 试 忆 所 有 可 能 的 密 钥 对 所 获 密 文 进行 解密 ,直至 得 到 正确 的 
明文 . 或 用 一 个 确定 的 密 钥 对 所 有 可 能 的 明文 进行 加 密 , 直 至 得 到 所 获得 的 密 
文 . 从 表 4-2 知 , 当 密 钥 长 度 达到 128 位 以 上 时 ,以 目前 的 资源 来 说 , 穷 举 攻击 将 
不 能 成 功 . 


表 4-2 是 穷尽 密 钥 空间 所 需 的 时 间 


























密 钥 位 数 密 钥 数 尝试 1 次 / 微 秒 尝试 10' 次 / 微 秒 
32 2 23 微 秒 汪 35. 8 分 2.15 毫秒 
56 2 25 微 秒 六 1142 年 10.01 小 时 
128 交 夫 2 微 秒 5.4X102# 年 5.4X1018 年 
168 办 2 四 微 秒 守 5.9X10” 年 5.4X10” 年 
26 个 字母 排列 261 2X10”* 微 秒 守 6. 4X10* 年 ”| 6.4X10 年 
密码 攻击 类 型 


根据 密码 分 析 者 所 知 的 信息 量 ,把 对 密码 的 攻击 分 为 : 


4.6 密码 攻击 、 陷 门 


唯 密 文 攻击 (ciphertext-only attack): 密码 分 析 者 知道 加 密 算 法 和 待 破译 
的 密 文 . 

已 知 明文 攻击 (known-plaintext attack) : 密码 分 析 者 除 知道 加 密 算法 和 待 
破译 的 密 文 外 ,而 且 也 知道 ,有 一 些 明 文 和 同一 个 密 钥 加 密 的 这 些 明文 所 对 应 的 
密 文 , 即 知道 一 定数 量 的 明文 和 对 应 的 密 文 . 

选择 明文 攻击 (chosen-plaintext attack) : 密码 分 析 者 知道 加 密 算法 和 待 破 
译 的 密 文 ,并 且 可 以 得 到 所 需要 的 任何 明文 所 对 应 的 密 文 ,如 在 公 钥 密码 中 , 攻 
击 者 可 以 利用 公 钥 加 密 他 任意 选 定 的 明文 . 

选择 密 文 攻击 (chosen-ciphertext attack): 密码 分 析 者 知道 加 密 算法 和 待 
破译 的 密 文 ,密码 分 析 者 能 选择 不 同 的 被 加 密 的 密 文 ,并 可 得 到 对 应 的 解密 的 明 
文 , 即 知道 选择 的 密 文 和 对 应 的 明文 . 这 种 攻击 主要 用 于 公 钥 密码 算法 . 

选择 文本 攻击 (chosen text attack) : 选择 文本 攻击 是 选择 明文 攻击 和 选择 
密 文 攻击 的 结合 . 密码 分 析 者 知道 加 密 算法 和 待 破译 的 密 文 ,并且 知 道 任 意 选择 
的 明文 和 它 对 应 的 密 文 , 这 些 明 文 和 待 破译 的 密 文 是 用 同一 密 钥 加 密 得 来 的 ,以 
及 有 目的 选择 的 密 文 和 它 对 应 的 明文 ,解密 这 些 密 文 所 使 用 的 密 钥 与 解密 待 破 
解 的 密 文 的 密 钥 是 一 样 的 . 

对 于 对 称 密码 而 言 , 唯 密 文 攻击 难度 最 大 ,因为 攻击 者 可 利用 的 信息 最 少 . 

如 果 无 论 攻击 者 有 多 少 密 文 ,由 一 个 加 密 算法 产生 的 这 些 密 文中 包含 的 信 
息 不 足以 唯一 决定 对 应 的 明文 ,也 无 论 用 什么 技术 方法 进行 攻击 都 不 能 被 攻破 ， 
这 种 加 密 算 法 是 绝对 安全 (unconditional security) 的 , 除 一 次 一 密 (one-time 
pad) 外 ,没有 绝对 安全 的 加 密 算法 . 

计算 上 安全 (computational security) : 破译 该 密码 的 成 本 超过 被 加 密 信 息 
的 价值 或 破译 该 密码 的 时 间 超 过 该 信息 有 用 的 生命 周期 . 目前 的 加 密 算法 一 般 
是 计算 上 安全 的 . 

密码 分 析 方 法 

密码 分 析 是 依赖 加 密 算法 的 特征 等 试图 破译 密 文 或 获得 密 钥 的 过 程 . 当 密 
钥 长 度 增加 到 一 定 的 大 小 时 , 穷 举 攻击 变 得 不 实际 . 比较 流行 的 密码 分 析 方法 是 
线性 密码 分 析 和 差分 密码 分 析 . 线性 密码 分 析 是 一 种 已 知 明文 攻击 ,是 一 种 统计 
攻击 , 它 以 求 线性 近似 为 基础 ,通过 寻找 密码 算法 变换 的 线性 近似 来 攻击 . 用 这 
种 方法 在 只 需要 知道 2 个 已 知 明文 的 情况 下 就 可 以 找到 DES 的 密 钥 . 

椭圆 曲线 密码 体制 (ECC) 的 安全 性 是 建立 在 椭圆 曲线 离散 对 数 的 数学 难题 
之 上 .椭圆 曲线 离散 对 数 问题 被 公认 为 要 比 整 数 分 解 问题 (RSA 方法 的 基础 ) 和 
模 p 离散 对 数 问题 (DSA 算法 的 基础 ) 难 解 得 多 . 目前 解 椭圆 曲线 上 的 离散 对 数 
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问题 的 最 好 算法 是 Pollard rho 方法 ,其 计算 复杂 度 是 完全 指数 级 的 ,而 目前 对 
让 一 es 
安全 强度 .加密 速度 以 及 存储 空间 方面 都 有 巨大 的 优势 .如 161 位 的 ECC 算法 
的 安全 强度 相当 于 RSA 算法 1024 位 的 强度 . 

例 4.4 设 n==pg, 下 面 列举 几 个 对 RSA 的 攻击 方法 : 

(1) 大 整数 的 因数 分 解法 . 考查 x? 三 a? (modn) 的 解 ,x 三 士 a(modn) 称 为 
平凡 解 . 若 找到 x 二 a*(modn) 的 一 个 非 平凡 解 zx, 则 (zx 十 a) (x 一 4) 三 0(modn)， 
求 出 (nn,z 一 a) ,(n,Xx 十 a), 便 可 分 解 n. 

(2) 通过 求 p(n) 来 求 p,q. 若 已 知 g(n) ,构造 zx? 一 (n 一 g(n) 十 1)x 十 n 二 0， 
设 其 根 是 p 和 gq ,pg 二 n,p 十 q 二 n 一 p(n) 十 1, 方 程 变 为 x? 一 (p 十 q)x 十 pq 二 0, 可 
以 解 此 方程 求 出 p,g. 

(3) 直接 计算 密 文 C 对 的 指数 . 若 找 到 不 同 的 i,j 使 得 C 三 士 CCmodz)， 
由 此 可 以 求 出 C' 三 1(modn) 中 的 1, 也 可 对 任 一 整数 , 求 w' 三 1(modn) 中 的 最 小 
正 整数 上 ,一 个 可 以 降低 计算 量 的 方法 是 尝试 取 若 干 互 素 的 数 5b; ,计算 E(bi,n)， 
然后 利用 指数 性 质 定理 2. 10 和 定理 2. 11, 可 以 求 出 :一 E(d,z) ,这 个 上 一 定 会 
满足 !|p(2) ;这 就 要 求 p 一 1 和 9 一 1 都 有 大 素 因 数 ,这 样 的 素数 p 和 g 称 为 强 素 
数 . 或 者 对 密 文 C, 直 接 计 算 C= 二 (…(C*)*…)* 三 r(modn), 当 7 为 1, 一 1 或 C， 
相当 于 Ela,qg(n)) 较 小 时 或 解密 指数 d 较 小 时 ,RSA 易 被 攻破 . 

(4) Wiener 的 低 解 密 指数 攻击 . 假设 g 二 p 二 2g,3d 二 mn , 则 gq 二 Vn, 有 
n 一 p(n) 三 p 十 q 十 1 过 3 Yn, 因为 ed 三 1(modg(n)), 相 当 于 ed 一 tp(n)==1,t<d， 
于 是 
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因此 , 生 和 六 非常 接近 , 生 可 以 看 作 志 的 连 分 数 展开 的 一 个 收敛 子 ( 渐 近 分 
数 ). 利用 关系 式 ed 一 1p(%) 二 1, 可 得 PC 一 纪 二 上 ,从 而 分 解 由 


由 文献 [3] 知 , 若 连 分 数 [ai ,az ,…,as] 的 渐 近 分 数 是 全, 佐 ，…, 公 , 则 在 这 


dk 
些 渐 近 分 数 之 间 ,下 列 关系 成 立 : 
Pi=a, ps=azatl, pr=ar peitpes, 
qi=1, gz—=azs, qt—=axgqit-i1t+gt-s, 3<k<n. 
例 4.5 ?一 160523347,e 一 60728973,e/z 表 成 连 分 数 为 [0,2,1,1,1,4,12， 
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i ry LU 区 . 总 天 
个 了 二 2 14 
102,1,1,2,3,2,2,36], 前 几 个 渐 近 分 数 为 0,5 ,3 ,5， 37: 


前 5 个 浙 近 分 数 不 能 得 到 与 n 相关 的 信息 ,而 由 14/37 可 以 得 到 


,一 37 勾 60728973 一 1 
3 14 


可 能 为 p(n) 的 值 . 因为 p 十 g==n 一 g(n) 十 1, 于 是 ,求解 方程 
x: 一 25348z 十 160523347 二 0 
得 到 两 个 根 += 二 12347,13001, 因 此 ,n= 二 12347X13001. 

例 4.6 已 知 n 是 素数 p,g 的 乘积 ,要 分 解 n 求 出 p,q. 

解 设 zi,xs 是 x 三 a (modn) 的 解 ,zi 放 zz, 则 (zi 十 x2) (xi 一 Zs) 三 
0(Cmodz) ,因此 (G(x 十 zx2) 0) 二 p,((xi 一 Ts) sn) 二 gq. 这 表明 ,如 果 破 解 了 拉 宾 公 
钥 系统 ,也 就 分 解 了 7 

设 > 为 拉 宾 公 钥 加 密 密 文 ,RabinD(y) 表 示 y 对 应 可 能 的 明文 ,w 表示 1 模 
n 的 非 平凡 根 ,x 表示 可 能 的 明文 . 通过 拉 宾 公 钥 分 解 的 算法 如 下 : 


r<-rand(1,n 一 1)# 随 机 选取 正 整 数 
yr modn 


TARabinD(Cy) 


二 160498000 





if zr or —r mod 7 
then return(“failure”) 
else 

pgcd(zt+r,n) 
gn/p 


return(“n=pXg”) 


如 果 x 三 wr(modn) 或 x 三 一 wr(modn), 则 分 解 成 功 . 因为 对 应 一 个 y, 有 4 
个 值 的 平方 对 应 y, 将 - 取 值 改 为 广 随机 从 1 2, 诗人 2 二] 中 到, 可 以 提 
高 分 解 效 率 . 

定义 4.1 若 函 数 /: A 一 B, 满 足 : 

(1) 对 所 有 xEA, 易 于 计算 f(x); 

(2) 对 几乎 所 有 xEA, 由 /(z) 求 x 极为 困难 ,以 至 于 实际 上 不 可 能 做 到 ， 
则 称 了 为 单 向 函数 (one-way function). 

单 向 函数 是 求 原 像 困难 的 函数 . 
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定义 4.2 可 逆 函 数 / 若 满 足 : 

(1) 对 于 所 有 属于 域 下 中 的 xz, 容易 计算 f(x) 二 y; 

(2) 对 于 几乎 所 有 属于 域 下 中 的 y, 除 非 获 得 陷 门 信息 ,否则 求 出 zx, 使 得 
zz 一 “'(y) 在 计算 上 不 可 行 ,这 里 /让 ; 为 的 逆 函 数 , 则 称 /为 单 向 陷 门 函 数 
(one-way trapdoor function). 

公 钥 算法 中 的 单 向 函数 是 基于 数学 上 难题 : 离散 对 数 、 大 整数 分 解 、 背 包 问 

题 : 虽然 还 没有 从 理论 上 证 明 它 们 一 定 是 单 向 陷 门 函数 ,但 在 一 定 范围 的 数据 
分 析 来 看 ,它们 具有 单 向 陷 门 函数 的 性 质 . 私 钥 就 是 所 谓 陷 门 , 单 向 陷 门 函数 是 
公 钥 密码 学 的 核心 . 在 不 知 陷 门 信息 情况 下 求 逆 极为 困难 ,当知 道 陷 门 信息 后 ， 
求 逆 则 容易 实现 . 








dF FR, 


4 习题 4. 6 名 


号 西 琵 琵 琵 本 六 


已 知 "一 2 一 11771246101,p(z) 一 11771018604, 求 p,q. 
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其 他 信息 安全 知识 


5.1 消息 认证 与 数字 签名 
消息 认证 与 数字 签名 是 防止 安全 攻击 的 有 效 手 段 . 
5.1.1 消息 认证 


用 于 消息 认证 的 认证 函数 是 单 向 函数 ,输入 值 为 消息 ,输出 值 为 认证 符 或 信 
息 摘 要 ,通过 认证 函数 检查 消息 和 认证 符 就 是 消息 认证 . 消息 认证 是 防止 主动 攻 
击 的 重要 手段 ,常用 来 验证 消息 的 发 送 者 的 合法 性 ,验证 信息 本 身 的 完整 性 ,可 
以 防止 伪装 欺诈 、 内 容 算 改 等 攻击 . 

认证 函数 可 分 为 两 类 : 

(1) 加 密 函 数 : 使 用 消息 发 送 方 和 接收 方 共享 的 密 钥 对 整个 消息 进行 加 密 ， 
则 整个 消息 的 密 文 作为 认证 符 . 

(2) 消息 认证 码 : 它 是 消息 和 密 钥 的 函数 ,产生 固定 长 度 值 作为 认证 符 . 

消息 认证 码 简称 MACCmessage authentication code) ,是 一 种 使 用 密 钥 的 认 
证 技术 , 它 利 用 密 钥 来 生成 一 固定 长 度 的 数据 块 ,并 将 该 数据 块 附加 在 消息 之 
后 .在 这 种 方法 中 假定 通信 双方 Alice 和 Bob 共享 密 钥 K. 若 Alice 计算 MAC= 
C(K,M) ,向 Bob 发 送 消息 MI|1MAC,Bob 收 到 后 ,也 计算 COM) 二 C(K ,MD) ,这 
里 M 为 收 到 的 值 , 若 CCM) 二 MAC, 则 认证 通过 . 

MAC 中 使 用 了 密 钥 ,如 果 密 钥 汇 漏 或 者 被 攻击 , 则 MAC 的 安全 性 则 无 法 
保证 . 在 基于 算法 的 加 密 函 数 中 ,攻击 者 可 以 尝试 所 有 可 能 的 密 钥 以 进行 穷 举 攻 
击 ,一 般 对 位 的 密 钥 , 穷 举 攻击 需要 2*-! 次 . 

一 个 安全 的 MAC 函数 应 具有 下 列 性 质 : 

若 攻击 者 知道 M 和 Cx (M) , 则 他 构造 满足 Cx (M') 二 Cx (M) 的 消息 M 在 
计算 上 是 不 可 行 的 . 
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CrkCM) 应 是 均匀 分 布 的 , 即 对 任何 随机 选择 的 消息 M 和 M’,Cx (M)= 
Cx (M ) 的 概率 是 2 " ,其 中 是 MAC 的 位 数 ; 设 M 是 M 的 某 个 已 知 的 变换 ， 
即 M = 二/OMD), 则 Ck(M) 二 Ck (CM) 的 概率 为 2. 

Hash 函数 

Hash 函数 是 通常 用 作 计 算 认 证 符 或 信息 摘要 的 加 密 函 数 ,Hash 函数 h(x) 
必须 满足 : 

(1) 单 向 ,对 任何 给 定 的 y, 找 到 工 使 得 (x)==y 在 计算 上 是 不 可 行 的 . 

(2) 压缩 , 它 是 将 任意 长 的 消息 M 映射 为 定 长 的 散 列 值 y= 二 h(zx) 的 函数 , 通 
常 输出 长 度 * 人 128b; 以 该 值 作为 认证 符 , 这 个 输出 串 > 称 为 该 消息 M 的 摘要 . 

(3) 高 效 , 对 任何 给 定 的 zx, 计算 y=h(zx) 具 有 计算 容易 、 运 算 速 度 快 的 
特点 . 

(4) 抗 碰撞 , 若 找到 两 个 不 同 消息 得 到 同一 个 值 则 说 找到 了 碰撞 . 抗 弱 碰撞 
性 : 对 任何 给 定 的 消息 zx, 找到 满足 习 和 xz 且 ACz)=ACz) 的 zi 在 计算 上 是 不 
可 行 的 ; 抗 强 碰撞 性 : 找到 所 有 满足 h(x) 二 h(x) 的 偶 对 (zx,x) 在 计算 上 是 不 
可 行 的 . 

Hash 函数 又 称 为 散 列 函 数 或 杂 竣 函数 ,h(xz) 又 称 为 散 列 值 . 

常用 简单 的 Hash 函数 : 

(1) 直接 取 余 法 : h(x) 二 x+ mod p, 这 里 p 是 不 接近 2 的 一 个 大 素数 . 

(2) 乘法 取 整 法 : h (xr) 二 trunc((x/maxXX)。maxlongit)mod p, 这 里 
maxX ,maxlongit 都 表示 大 整数 . 

(3) 平方 取 中 法 : h(x) 二 x? mod 1000000, 这 里 工大 于 1000, 平 方 后 取 中 间 
的 值 ,每 位 包含 信息 比较 多 . 

例 5.1 假设 Hash 函数 是 采用 简单 的 直接 取 余 法 , 模 数 p 是 未 知 的 , 当 找 
到 了 z>>y 使 得 x+ 三 y(modp), 即 找到 了 碰撞 ,那么 如 (x 一 y) ,分 解 x 一 y 就 可 求 
出 p. 反 之 ,车 知道 了 pp, 则 可 以 找 出 所 有 碰撞 . 

著名 的 和 复杂 的 Hash 算法 一 般 包含 分 组 .和 迭代、 压缩 和 置换 等 . 

常见 的 Hash 算法 有 : 

(1) MD4(RFC 1320) 是 MIT 的 Ronald L. Rivest 在 1990 年 设计 的 ,MD 
是 Message Digest( 消 息 摘要 ) 的 缩写 . 它 适 用 在 32 位 字 长 的 处 理 器 上 用 高 速 软 
件 实现 , 它 是 基于 32 位 操作 数 的 位 操作 来 实现 的 . 

(2) MD5(RFC 1321) 是 Rivest 于 1991 年 对 MD4 的 改进 版 本 . 它 对 输入 仍 
以 512 位 分 组 ,其 输出 是 4 个 32 位 字 的 级 联 , 与 MD4 相同 . MD5 比 MD4 复杂 ， 
运行 速度 较 之 要 慢 , 但 更 安全 ,在 抗 分 析 和 抗 差 分 方面 表现 更 好 . 











5.1 消息 认证 与 数字 签名 


MD5 算法 的 步 又: 

@ 填充 消息 : 任意 长 度 的 消息 首先 需要 进行 填充 处 理 ,使 得 填充 后 的 
消息 总 长 度 与 448 模 512 同 余 . 填充 的 方法 是 在 消息 后 面 添加 一 位 1, 后 续 
都 是 0. 

@ 添加 原始 消息 长 度 : 在 填充 后 的 消息 后 面 再 添加 一 个 64 位 的 二 进 制 整 
数 表示 填充 前 原始 消息 的 长 度 . 这 时 经 过 处 理 后 的 消息 长 度 正好 是 512 位 的 
倍数 . 

@ 初始 值 (IV) 的 初始 化 : MD5 中 有 四 个 32 位 缓冲 区 ,用 (A,B,C,D) 表 
示 , 用 来 存储 散 列 计算 的 中 间 结 果 和 最 终结 果 , 缓 冲 区 中 的 值 被 称 为 链接 变量 . 
首先 将 其 分 别 初始 化 为 : A = 0x01234567, B= 二 0x89abcdef, C= 0xfedcba98， 
D=0x76543210. 

@ 以 512 位 的 分 组 对 消息 进行 循环 散 列 : 消息 以 512 位 为 单位 ,分 成 N 个 
分 组 ,用 Y, ,Yi ,…,Yw-1 表 示 . 对 每 个 分 组 进行 散 列 处 理 . 每 一 轮 的 处 理会 对 
(A,B,C,D) 进 行 更 新 . 

@ 输出 散 列 值 : 所 有 N 个 分 组 消息 都 处 理 完 后 ,最 后 一 轮 得 到 的 四 个 缓冲 
区 的 值 即 为 整个 消息 的 128 位 信息 散 列 值 . 

王小云 院士 2005 年 在 文献 L[15] 中 给 出 了 破解 MD5 的 方法 . 

(3) SHA-512(Secure Hash Algorithm ,安全 散 列 算法 ) 是 美国 国家 安全 局 
(CNSA) 设 计 , 美 国 国家 标准 与 技术 研究 院 C(NIST) 发 布 的 密码 散 列 函数 . 它 是 以 
1024 位 分 组 为 单位 处 理 消息 ,进行 80 轮 运算 ,所 有 的 N 个 1024 位 分 组 都 处 理 
完 , 最 后 输出 512 位 的 消息 散 列 值 . 

* (4) SM3 散 列 算法 是 国家 商用 密码 管理 局 于 2010 年 发 布 的 商用 散 列 算 
法 53 ,将 长 度 为 L(L 二 2 ) 位 的 消息 mm, 压缩 输出 为 256b 的 摘要 值 ;算法 的 基本 
过 程 为 : 填充 ,分 组 初始化、 压缩 输出 摘要 值 . 

SM3 算法 的 步骤 ， 

Q@ 填充 与 分 组 : 对 输入 消息 先 填充 ,再 分 组 ,每 组 的 长 度 为 512b, 消 息 填充 
后 的 长 度 为 512b 的 倍数 ;假设 消息 m 的 长 度 为 L 位 , 先 将 1 添加 到 消息 的 末 
尾 , 青 添加 个 0,k 是 满足 二 十 1 十 Rs=448(mod512) 的 最 小 的 非 负 整数 ,然后 再 
添加 一 个 革 长 度 二 进 制 表示 的 64 位 比特 串 . 填充 后 的 消息 mr 的 比特 长 度 为 512 
的 倍数 . 

例如 : 对 消息 01100001 01100010 01100011 ,其 长 度 工 =24, 经 填充 得 到 比 
特 串 : 
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_423b _64b 
01100001 01100010 01100011 1 00…00 00…011000 

@ 初始 化 SM3 采用 8 个 寄存 器 ABCDEFGH 存储 散 列 运 算 中 间 结 果 和 最 

终结 果 . 首先 对 寄存 器 进行 初始 化 为 
TV 一 7380166f4914b2b9 172442d7 da8a0600 a96f30c 163138aae38dee4d b0f00e4f; 

这 些 字 节 采用 高 端 (big-endian) 格 式 存储 ,高 端 格 式 存储 规定 : 左边 为 高 有 效 
位 ,右边 为 低 有 效 位 . 数 的 高 阶 字 节 放 在 存储 器 的 低地 址 , 数 的 低 阶 字 节 放 在 存 
储 器 的 高 地 址 . 

@ 压缩 迭代 过 程 

。 办 代 过 程 ” 以 512 位 的 分 组 为 单位 进行 迭代 压缩 计算 ,将 填充 后 的 消息 
m 按 512 比特 进行 分 组 ,m= 二 YoYi…Y,_1, 其 中 ==(L 十 & 十 65)/512. 

对 m' 按 下 列 方式 迭代 ，; 





for j=1 ton—l1 do 
Vin=CF(Vi,Y,) 
od 


其 中 CF 是 压缩 函数 ,Vo 为 256 位 初始 值 IV,Y; 为 填充 后 的 消息 分 组 . 迭 
代 压 缩 的 结果 为 V,. 
。 消息 扩展 ”将 消息 分 组 Y; 扩展 为 132 个 字 Wo, Wi,*…,Wer, Wo， 
W1，… ,Ws ,用 于 压缩 函数 CF ,算法 如 下 : 
将 消息 分 组 Y; 划分 为 16 个 字 Wo ,Wi ，… ,Ws. 
for j=16 to 67 do 
Wj<Pi (Wj;_ws DW- DW <<<15)OW-s <<<7 OW,。 
od 
for j=0 to 63 do 
W’; =W;®OWir 
od 


这 里 ,外表 示 32 位 异 或 运算 ,二 二 二 k 表示 循环 左 移 k& 位 运算 ,Pi 为 置换 
函数 . 

。 压缩 函数 令 A,B,C,D,E,F,G,HH 为 字 寄 存 器 ,SS1,SS2,TT1,TT2 
为 中 间 变 量 ,压缩 函数 V ;+1 二 CF(Vi;,Y;) ,0 声 i<n 一 1, 算 法 如 下 : 


Vit1 ABCDEFGHOV: 
for j=0 to 63 do 
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SS1<—((A<~<~<=12)+E+ (T=<<=<)))<<<7 
SS2<SS1I®@(A<<<=12) 
TT1<FF;,(A,B,C)+D+SS2+W’ 
TT2<GG;(E,F,G)+ H+SS1+W,; 
BC 
CB<<<9 
B<A 
ATT] 
HG 
GF<<<19 
FeE 
E<PoCTT2) 

od 














79cc4519， 0<j<15， 
最 后 输出 为 摘要 值 . 其 中 ,T 为 常量 ,T= 
| 1 \7a879d8a, 16<j<63, 


FF 和 GG,; 是 布尔 函数 , 字 寄 存 器 为 4 字 节 


A@B@cC， DG 
FE CA,B,GO= [4BBO 四 

(ANMB)V (AAOV (BAC), 16<j<63; 

EF®G, 0<j<15, 


(EAF)V (一 BEAG)， 16<j<63. 

这 里 人 表示 32 位 与 运算 , V 表示 32 位 或 运算 ,一 表示 32 位 非 运 算 . 

P, 为 置换 函数 ,Po(X) 二 X(X<=<<9)@(X<<<17);P(X)= XO 
(<<IDO(XLLRLI 为 字 : 

例 5.2 18 位 身份 证 号 码 最 后 一 位 校 验 码 的 计算 方法 .第 二 代 公民 身份 号 
码 是 特征 组 合 码 ,由 17 位 数字 和 1 位 校 验 码 组 成 . 排列 顺序 从 左 至 右 依次 为 : 6 
位 数字 地 址 码 ,8 位 数字 出 生日 期 码 ,3 位 数字 顺序 码 男 单 女 双 ,1 位 数字 校 

校 验 方法 : 

(1) 先 对 身份 证 前 17 位 数字 的 加 权 求 和 ,S=Sum(A;，Wi) ,i 二 0,1,…， 
16, 这 里 A; 表示 第 i 个 位 置 上 的 身份 证 号 码 数字 值 ,W; 表示 第 i 位 给 的 加 权 
子 ,W; 分 别 为 : 79 10584216379105842. 

(2) 计算 Y=S mod 11, 通 过 模 运 算得 到 对 应 的 值 Y: 012345678910. 

(3) 用 X 代替 10, 进 行 置换 ,得 到 校 验 码 : 10X98765432. 


coE,F,.0=| 





画 
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5.1.2 数字 签名 


数字 签名 也 是 一 种 认证 机 制 , 它 是 公 钥 密码 学 发 展 过 程 中 的 一 个 重要 组 成 
部 分 ,是 公 钥 密码 算法 的 典型 应 用 . 数字 签名 的 应 用 过 程 是 ,数据 源 发 送 方 使 用 
自己 的 私 钥 对 数据 校 验 和 对 其 他 与 数据 内 容 有 关 的 信息 进行 处 理 , 完 成 对 数据 
的 合法 “签名 ”, 数 据 接收 方 则 利用 发 送 方 的 公 钥 来 验证 收 到 的 消息 上 的 “数字 签 
名 ”, 以 确认 签名 的 合法 性 . 

数字 签名 要 满足 条 件 : 

(1) 签名 的 结果 必须 是 与 被 签名 的 消息 相关 的 二 进 制 位 串 ; 

(2) 签名 必须 使 用 发 送 方 某 些 独 有 的 信息 (发 送 者 的 私 钥 ) ,以 防伪 造 和 
否认 ; 

(3) 产生 数字 签名 比较 容易 ; 

(4) 识别 和 验证 签名 比较 容易 ; 

(5) 给 定数 字 签名 和 被 签名 的 消息 ,伪造 数字 签名 在 计算 上 是 不 可 行 的 ; 

(6) 保存 数字 签名 的 拷贝 ,并 由 第 三 方 仲裁 是 可 行 的 . 

数字 签名 的 一 般 流 程 ; 

(1) 消息 发 送 方式 与 散 列 函 数 对 消息 进行 计算 ,得 到 消息 的 散 列 值 , 并 用 自 
己 的 私 钥 对 消息 散 列 值 进行 计算 ,得 到 一 个 较 短 的 数字 签名 串 ,将 这 个 数字 签名 
和 消息 一 起 发 送 给 接收 方 . 

(2) 接收 方 首先 从 接收 到 的 消息 中 用 同样 的 散 列 函 数 计算 出 一 个 消息 摘 
要 ,然后 使 用 这 个 消息 摘要 ,发 送 者 的 公 钥 以 及 收 到 的 数字 签名 ,进行 数字 签名 
合法 性 的 验证 . 

Schnorr 数字 签名 1989 年 ,Schnorr 发 布 了 如 下 数字 签名 : 

设 p,g 是 两 个 素数 ,满足 p 一 1 二 gqt,q 宇 2”,p 宇 2 , 找 模 p 的 原 根 g ,a 二 
g'(modp), 则 El(a,p) 二 gq. 要 签名 的 消息 为 M,0 二 Mp. 签名 者 随机 选择 一 整 
数 ,1 二 x 二 gq, 并 计算 : 5 三 a*(modp), 这 里 p,qg,a,b 是 公 钥 ,x 是 私 钥 ,随机 选 
取 1<k<g, 计 算 h= 有 HH(r,M),s 三 k 一 xh(modg), 这 里 互 (~,M) 表 示 散 列 函数 ,r 
表示 函数 值 长 度 ,(h,s) 即 为 M 的 签名 . 签名 者 将 M 和 (h,s) 存 放 或 发 送 给 验 
证 者 . 

验证 者 获得 M 和 (h,s) ,需要 验证 (1,s) 是 否 是 M 的 签名 . 

因为 aib* 二 a**+%a** 二 qt (modp), 检 查 是 否 ab* 寺 a* (modp), 若 该 式 成 
立 , 则 (h,s) 为 M 的 合法 签名 . 

例 5.3 取 g=101,p 二 78g 十 1 二 7879 是 两 个 素数 , 模 户 的 原 根 为 3,a 一 
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3” 圭 170(mod7879), 则 EE(170,7879) 二 101. 要 签名 的 消息 为 M,0 二 Mp. 签名 
者 随机 选择 一 整数 +==75 二 gq, 并 计算 : 65==170” 寺 4567(mod7879), 这 里 p,g,a， 
4 是 公 钥 ,z 是 私 钥 , 随 机 选取 1<k 二 50<g, 计 算 

h=H(r,M)=96,s=50 一 75X96 三 21(mod101),(h,s) 二 (96,21) 即 为 M 
的 签名 . 签名 者 将 M 和 (hh,s) 发 送 给 验证 者 . 

验证 者 获得 M 和 (h,s) ,验证 (h,s) 是 否 是 M 的 签名 . 

ab*=17024567% 二 2518(mod7879),， a* 二 1702+ 三 2518(mod7879)， 
则 (4h,s) 二 (96,21) 为 合法 签名 . 

公 钥 数字 签名 

Alice 向 Bob 进行 签名 ,有 以 下 特点 : @ Alice 不 能 否认 进行 了 签名 ; 
@Bob 不 能 自 改 Alice 的 签名 . 

为 了 表述 简单 , 记 Alice 的 公 钥 和 私 钥 分 别 为 E4 和 Da,Bob 的 公 钥 和 私 钥 
分 别 为 Es 和 Ds, 公 钥 都 提供 给 对 方 . 

Alice 先 对 m 变换 ,计算 Es (Da (m))= 二 C, 将 C 发 给 Bob; 

Bob 收 到 后 ,计算 Es (Ds (0))==m. 

这 时 ,Alice 不 能 否认 进行 了 签名 ,因为 Bob 可 举证 由 C 算 得 m; 

Bob 也 不 能 算 改 Alice 的 签名 ,因为 Alice 可 举证 由 mm 算得 C. 

RSA 公 钥 具有 数字 签名 功能 . 

“美国 数字 签名 标准 DSS 

DSS 采用 SHA 散 列 算法 ,给 出 了 一 种 数字 签名 算法 , 称 为 DSA. DSA 的 系 
统 参 数 选择 如 下 : 

pp: 512 位 的 素数 ,其 中 2L 一 1 二 p 二 2L,512 志 L1024, 且 工 是 64 的 倍数 ， 
即 工 的 位 长 在 512 至 1024 之 间 并 且 其 增 量 为 64 位 . 

q: 160 位 的 素数 且 g| (p 一 1). 

g: 满足 g==h%* ?4% mod p,h>0. 

五: 为 散 列 函 数 . 

>Z: 用 户 的 私 钥 ,0 三 xg. 

y: 用 户 的 公 钥 ,y= 二 g* mod p. 
p,q,8 为 系统 发 布 的 公共 参数 ,与 公 钥 y 公开 ; 私 钥 z 保密 . 

签名 : 设 要 签名 的 消息 为 M,0 二 Mp. 签名 者 随机 选择 整数 ,0 二 k 二 g， 
计算 : 








r=(g* mod p) mod g， 
s=[k (万 COM) 十 zr)] mod gq, 
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(r,s) 即 为 M 的 签名 . 签名 者 将 M 连同 (r,s) 一 起 存放 ,或 发 送 给 验证 者 . 
验证 : 验证 者 获得 M 和 (r,s), 需 要 验证 (r,s) 是 否 是 M 的 签名 . 首先 检查 
r 和 是否 属于 [0,g], 若 不 是 , 则 (r,s*) 不 是 签名 值 . 否则 ,计算 : 
也 一 S 1 mod g, 
uu=(H(M)w) mod g, 
us=rw mod q， 
v=((gy*) mod p) mod gq. 
如 果 v==r, 则 所 获得 的 (r,s) 是 M 的 合法 签名 . 
仲裁 数字 签名 ”仲裁 签名 中 除了 通信 双方 外 ,还 有 一 个 仲裁 方 ;发 送 方 A 
发 给 B 的 每 条 签名 的 消息 都 先 发 送 给 仲裁 者 T,T 对 消息 及 其 签名 进行 检查 以 
验证 消息 源 及 其 内 容 ,检查 无 误 后 ,给 消息 加 上 日 期 再 发 送 给 B, 同 时 指明 该 消 
息 已 通过 仲裁 者 的 检验 . 
仲裁 数字 签名 较 普 通 签名 需要 多 一 步 处 理 , 仲 裁 者 的 加 入 使 得 对 于 消息 的 
验证 具有 了 实时 性 . 
用 对 称 密 钥 的 仲裁 : 
(1) A>T: M| Exar[LIDa | HOM)J; 
(2 T==B; ExkrsLIDa| | MI ErarLIDa | H(M)] | Tl 
用 公 钥 用 对 称 密 钥 的 仲裁 : 
(DD A>T: ID Epra LIDA | Epus (Epra LM])]; 
(2) T—>B: Eprr LIDa || EpvsLEpra LMI]N TJ. 


5.1.3 生日 攻击 


生日 攻击 是 对 Hash 函数 的 一 种 攻击 方法 ,来自 于 概率 统计 中 的 生日 问题 ， 
在 妈 个 人 中 随机 选取 站 个 人 , 当 上 为 多 大 时 能 保证 有 两 个 人 的 生日 是 相同 的 ? 
你 可 能 会 说 答案 是 366, 因 为 一 非 闽 年 有 365 天 ,根据 钢 笼 原理 ,如 果 有 366 个 
人 ,那么 其 中 两 个 人 必定 会 在 同一 天 过 生日 .但 用 统计 学 的 方法 来 考虑 生日 问题 
之 后 会 发 现 ,所 需要 的 人 数 & 和 远 小 于 366. 假设 至 少 有 两 个 人 同一 天 生日 的 概率 
为 PCR) ,首先 & 个 人 的 生日 排列 的 总 数目 是 365k, 这 样 ,k 个 人 有 不 同 生 日 的 排 
列 数 为 : 3651 /(365 一 &)1, 因 此 ,k 个 人 有 不 同 生日 的 概率 为 该 数 除 以 365*, 因 
此 & 人 中 至 少 找到 两 个 人 同日 出 生 的 概率 是 

P(k)=1—364! /((365—k)! (365)*1). 

如 P(23)s*0. 5072972343,P(70)s*0. 9991595760,P(100)S0. 9999996928. 

只 要 随机 选取 70 个 人 ,这 其 中 两 个 人 有 相同 生日 的 可 能 性 就 是 99. 9%. 
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这 个 分 析 也 就 是 所 谓 “ 生 日 悖 论 ” 

生日 攻击 举例 : 

(1) Alice 使 用 Hash 函数 对 消息 M 签名 ,S 二 h(M) ,使 用 假设 S 是 一 个 7 
位 的 二 进 制 散 列 值 的 数字 签名 . 

(2) 攻击 者 Trudy 为 了 伪造 签名 者 签名 的 一 份 消息 下 ,首先 产生 一 份 Alice 
会 同意 签名 的 无 害 消息 ,再 产生 出 该 消息 的 2" 种 不 同 的 微小 变化 ,这 些 变化 不 
改变 消息 含义 ,如 加 空格 ;然后 攻击 者 再 伪造 一 条 不 同 的 消息 ,并 产生 出 不 改变 
该 消息 含义 的 2 种 变化 . 

(3) Trudy 在 上 述 两 个 消息 集合 中 找 出 可 以 产生 相同 散 列 值 的 一 对 消息 . 
根据 * 生 日 悖 论 ” 理 论 ,能 找到 这 样 一 对 消息 的 概率 是 非常 大 的 . 如 果 不 成 功 , 回 
到 (2) ,直至 成 功 . 

(4) Trudy 对 所 有 的 恶意 消息 E; 和 所 有 的 无 害 消息 G; 计算 h(E;) 和 
h(G;) ,根据 生日 悖 论 , 可 能 找到 有 h(E) 二 h(G;),Trudy 再 将 G; 发 给 Alice 要 求 
签名 ,这 样 Turdy 就 获得 了 El 的 签名 . 

由 此 分 析 可 以 看 出 ,一 个 Hash 函数 的 好 坏 , 需 要 它 能 够 使 输出 的 值 尽 量 分 
散 ,减少 输出 值 的 碰撞 . 


5.1.4 盲 签名 .代理 盲 签 名 


除了 一 般 的 数字 签名 ,还 有 言 签 名 .代理 盲 签名 , 盲 签 名 是 Chaum 在 1982 
年 首次 提出 的 ,并 利用 盲 签名 技术 提出 了 第 一 个 电子 现金 方案 . 盲 签名 由 于 具有 
盲 性 ,因此 能 有 效 的 保护 所 签名 的 消息 的 具体 内 容 , 所 以 在 电子 商务 等 领域 有 着 
广泛 的 应 用 . 

盲 签 名 允许 消息 发 送 者 先 将 消息 盲 化 ,再 让 签名 者 对 盲 化 的 消息 进行 签名 ， 
最 后 消息 拥有 者 对 签名 除去 盲 因 子 .得 到 签名 者 关于 原 消 息 的 签名 . 

盲 签名 除了 满足 一 般 数字 签名 条 件 外 ,还 必须 满足 : 

(1) 签名 者 不 知道 其 所 签名 的 消息 的 具体 内 容 ; 

(2) 签名 消息 不 可 追踪 , 即 当 签名 消息 被 公布 后 ,签名 者 无 法 知道 这 是 他 哪 
次 签署 的 . 

言 签名 的 步骤 

A 期 望 获 得 对 消息 m 的 签名 ,B 对 消息 m 的 盲 签 名 的 实现 描述 如 下 : 

育 化 : A 对 于 消息 进行 处 理 , 使 用 盲 因 子 合成 新 的 消息 M 并 发 生 给 B; 

签名 : B 对 消息 M 签名 后 ,将 签名 (M,sign(M)) 返 回 给 A; 

去 盲 : A 去 掉 育 因 子 , 从 对 M 的 签名 中 得 到 B 对 m 的 签名 . 
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好 的 盲 签名 具有 以 下 特征 : 

(1) 不 可 伪造 性 : 除了 签名 者 本 人 外 ,任何 人 都 不 能 以 他 的 名 义 生成 有 效 的 
育 签 名 ; 

(2) 不 可 抵赖 性 : 签名 者 一 旦 签署 了 某 个 消息 ,他 无 法 否认 自己 对 消息 的 签名 ; 

(3) 盲 性 : 签名 者 虽然 对 某 个 消息 进行 了 签名 ,但 他 不 可 能 得 到 消息 的 具体 
内 容 ; 

(4) 不 可 跟踪 性 : 一 旦 消息 的 签名 公开 后 ,签名 者 不 能 确定 自己 何 时 签署 的 
这 条 消息 . 

代理 签名 的 目的 是 当 某 签名 人 因 某 种 原因 不 能 行使 签名 权力 时 ,将 签名 权 
委派 给 其 他 人 蔡 自己 行使 签名 权 . 由 原始 签名 者 (部 分 ) 授 权 代理 签名 者 ,使 代理 
签名 者 产生 代替 原始 签名 的 签名 就 是 代理 数字 签名 . 这 个 概念 是 由 Mambo， 
Usada 和 Okamoto 于 1996 年 首先 提出 的 ,并 且 给 出 了 一 个 代理 签名 方案 ， 

MOU 代理 盲 签名 

设 p 是 一 大 素数 ,g 为 p 一 1 的 大 素 因 子 ,g e2; , 且 g' 三 1(mod p), 原 签名 
者 A, 代 理 签名 者 B 的 私 钥 为 D4, Ds € {1,2,…,g 一 1); 公 钥 分 别 为 Es = 
gmod p,Es=g?smod p. 

代理 签名 步骤 如 下 : 

(1) 产生 代理 密 钥 : A 随机 选择 &E Z; ,计算 r= 二 g*mod p, 然 后 计算 代理 得 
名 密 钥 ;二 (D4 十 kr)mod dg; 代理 密 钥 的 传递 : A 将 (s,r) 以 安全 的 方式 发 送 
给 B. 

(2) 代理 密 钥 的 验证 : B 检查 等 式 g' 三 Ear"(mod p) 是 否 成 立 , 如 果 成 立 则 
接受 ,否则 拒绝 . 

(3) 代理 签名 者 对 消息 签名 : 对 于 消息 m,B 将 ;作为 新 的 私 钥 ( 替 代 Da) 
使 用 签名 算法 产生 对 m 的 签名 sp 三 sig(s,m) ,然后 将 (sp ,7) 作 为 他 代表 A 对 于 
消息 mm 的 数字 签名 ( 即 代 理 签名 ). 

(4) 代理 签名 的 验证 : 接收 方 收 到 消息 mx 和 代理 签名 (sp ,7r), 验 证 
Ver(EaA, (spyr) 7) 一 1rue, 是 否 成 立 , 如 果 成 立 则 认为 代理 签名 成 立 , 否则 
拒绝 . 

言 签名 的 条 件 : 假设 A 委托 B 进行 代理 签名 , 则 签名 必须 满足 3 个 最 基本 
的 条 件 : 

(1) 签名 接收 方 能 够 像 验 证 A 的 签名 那样 验证 B 的 签名 ; 

(2) A 的 签名 和 B 的 签名 应 当 完 全 不 同 ,并 且 容 易 区 分 ; 

(3) A 和 B 对 签名 事实 不 可 否认 . 
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5.1.5 和 零 知 识 证 明 


在 零 知 识 证 明 中 ,可 以 在 不 泄漏 任何 秘密 的 情况 下 ,证 明 他 知道 这 个 秘密 ， 
零 知 识 证 明 可 用 于 验证 . 零 知 识 证 明 不 是 数学 意义 上 的 证 明 , 只 是 概率 证 明 . 零 
知识 证 明 可 以 用 来 设计 不 泄漏 任何 信息 的 身份 认证 ,例如 ,设计 准 实名 制 认证 ， 

例 5.4 图 5-1 是 只 有 一 个 人 口 的 扇形 屋 ,A 要 向 B 证 明 自 己 知道 秘密 , 采 
零 知 识 证 明 , 则 B 看 着 A 从 入 口 走向 C 点 ,该 处 可 以 看 到 秘密 ,这 时 B 没 有 看 
到 秘密 ,但 是 完全 可 以 证 明 A 知道 秘密 . 


























图 5-1 零 知识 证 明示 意图 


例 5.5 零 知识 证 明 的 ElGamal 签名 方案 . 

假设 A 告诉 BB 说 他 知道 C 的 ElGamal 签名 的 密 钥 x. B 要 A 给 出 证 据 ,A 
不 想 透露 任何 关于 密 钥 x 的 信息 给 B, 又 要 给 出 证 据 证 明 他 知道 C 的 密 钥 x, 可 
以 按 以 下 方法 实现 零 知识 的 证 明 . 

C 采 用 ElGamal 签名 ,公开 p,g,y, 他 的 私 钥 是 zx,A 和 B 商定 一 个 随机 的 
消息 M. 

A 选择 两 个 随机 数 & 和 nn, 其 中 (kn,p 一 1)==1, 最 好 还 满足 (k,n) 二 1, 其 中 
和 nn 保密 , 且 用 完 后 马上 销毁 . 

(1) 然后 计算 





a 三 g*(modp), ‘=g"(modp). 
(2) A 根据 下 式 求 2， 
M=(zxatkb—n)(mod(p—1)). 
(3) A 把 签名 (e ,pc) 发 送 给 B. 
(4) B 验证 ya*=cg “(modp). 
也 验证 后 可 以 知道 A 是 否 知 道 C 的 密 钥 zx, 但 他 没有 得 到 任何 关于 x 的 信 
息 ,同时 也 也 不 能 根据 A 透露 的 信息 ,伪造 出 消息 M 的 签名 (al ,0b). 
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方法 分 析 : 

B 知道 A 给 出 的 消息 M 的 签名 (a,5,c) ,他 若 想 根据 这 个 信息 伪造 M 的 签 
名 (ai ,by) ,使 得 a,b 满足 ya ai 二 cg” (modp). 

B 只 能 固定 a 求 b 或 固定 求 wm. 现在 他 得 到 A 给 他 的 M 的 签名 (a,b,c). 

(1) 当 让 aj 二 a, 欲 求 5b 时 ,有 


ss = b, 
ya’=cg*=cy"ar (modp). 


a 二 car (modp), 即 a 三 c(modp). 

它 等 价 于 求解 方程 m* 三 n(modp). 

(2) 当 让 b= 二 5, 欲求 al 时 ,有 

ya = ey a (modp)， 即 af 寺 c 1yra’* (modp). 

它 等 价 于 求解 +" 三 n(modp). 

(3) 或 者 B 想 从 签名 (ap,c) 中 的 ac 入 手 ,B 知道 有 未 知 数 ,n 满足 
a 三 g‘(modp), ‘=g"(modp). 
它 等 价 于 B 知道 C 公开 的 ec,y, 求 未 知 数 &,z 满足 

a 三 g*(modp), y=g*(modp). 

从 分 析 可 看 出 ,选择 (k,n) 二 1, 能 离散 更 好 

上 面 几 种 情况 的 难度 都 等 价 于 离散 对 数 问题 ,B 从 A 获得 的 信息 求 密 钥 x 
的 难度 等 价 于 B 从 C 获得 的 信息 求解 密 钥 z 的 难度 ,等 价 于 也 直接 从 C 公开 的 
数据 p,g,y 获得 信息 的 难度 . A 可 以 通过 此 法 向 了 B 证 明 自 己 是 否 拥有 C 的 密 钥 
2 同时 没有 泄漏 任何 关于 密 钥 x 的 信息 给 B, 而 B 也 不 能 根据 A 给 出 的 消息 M 
的 签名 (a,b,c) 来 伪造 消息 M 的 合法 签名 . 


5.1.6 数字 水 印 


数字 水 印 又 称 为 指纹 技术 ,是 保护 信息 安全 ,实现 防伪 溯源 、 版 权 保 护 的 有 
效 办 法 . 数字 水 印 将 一 些 标识 信息 直接 嵌入 数字 载体 (文档 、 软 件 、 多 媒体 等 ) 当 
中 或 是 间接 表示 ( 写 人 特定 区 域 ), 且 不 影响 原 载体 的 使 用 ,也 不 容易 被 找到 和 修 
改 , 但 可 以 被 生产 方 识别 和 辨认 ,通过 这 些 隐藏 在 载体 中 的 信息 ,可 以 检测 内 容 
创建 者 、 购 买 者 、 传 送 隐 秘 信息 、 判 断 载 体 是 否 被 自 改 等 . 一 般 数 字 水 印 相对 于 原 
信息 而 言 只 占 很 小 比例 . 

水 印 又 分 为 鲁 棒 水 印 和 脆弱 水 印 . 

和 鲁 棒 水 印 主要 用 于 在 数字 作品 中 标识 著作 权 信 息 , 利 用 这 种 水 印 技术 在 多 
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媒体 内 容 的 数据 中 嵌入 创建 者 .所 有 者 的 标示 信息 ,或 者 蔡 入 购买 者 的 标示 ,如 
序列 号 . 在 发 生 版 权 纠纷 时 ,创建 者 或 所 有 者 的 信息 用 于 标示 数据 的 版 权 所 有 
者 ,而 序列 号 可 用 于 追踪 违反 协议 而 为 盗版 提供 多 媒体 数据 的 用 户 . 用 于 版 权 保 
护 的 数字 水 印 要 求 有 很 强 的 鲁 棒 性 和 安全 性 ,除了 要 求 在 一 般 图 像 处 理 ( 如 滤 
波 .加 噪声 替换、 压缩 等 ) 中 生存 外 ,还 要 能 抵抗 一 些 恶 意 攻击 . 

脆弱 数字 水 印 主要 用 于 完整 性 保护 和 认证 ,这 种 水 印 同样 是 在 内 容 数 据 中 
嵌入 不 可 见 的 信息 . 当 原 信 息 发 生 改 变 时 ,这 些 水 印信 息 会 发 生 相 应 的 改变 ,从 
而 可 以 鉴定 原始 数据 是 否 被 算 改 . 可 以 用 认证 符 作为 脆弱 水 印 . 

数字 水 印 技术 一 般 具 有 以 下 特点 : 

(1) 安全 性 : 数字 水 印 的 信息 应 难以 自 改 或 伪造 ,同时 ,应 当 有 较 低 的 误 检测 
率 , 当 原 内 容 发 生变 化 时 ,数字 水 印 应 当 发 生变 化 ,从 而 可 以 检测 原始 数据 的 变更 . 

(2) 隐蔽 性 : 数字 水 印 不 影响 被 保护 数据 的 正常 使 用 ,应 是 察觉 不 到 的 . 

(3) 和 鲁 棒 性 : 该 特性 适用 于 鲁 棒 水 印 . 是 指 在 经 历 多 种 无 意 或 有 意 的 信号 处 
理 过 程 后 ,数字 水 印 仍 能 保持 部 分 完整 性 并 能 被 准确 鉴别 . 可 能 的 信号 处 理 过 程 
包括 信道 噪声 ,滤波 数字 信号 与 模拟 信号 的 转换 、 重 采样 . 剪 切 、 位 移 ` 尺 度 变化 
以 及 有 损 压缩 编码 等 . 

(4) 敏感 性 : 该 特性 适用 于 脆弱 水 印 . 经 过 分 发 传输、 使 用 过 程 后 ,数字 水 
印 能 够 准确 地 判断 数据 是 否 遭 受 算 改 ;进一步 地 ,可 判断 数据 算 改 位 置 .程度 其 
至 恢复 原始 信息 . 

数字 水 印 可 划分 为 图 像 水 印 .音频 水 印 .视频 水 印 .文本 水 印 以 及 用 于 三 维 
网 格 模型 的 网 格 水 印 等 . 对 于 不 同 的 水 印 , 有 相应 的 成 熟 的 添加 水 印 的 方法 . 

例 5.6 利用 像素 的 统计 特征 将 信息 嵌入 像素 的 亮度 值 中 . 

Patchwork 算法 : 随机 选择 N 对 像素 点 (a;,6;) ,然后 将 每 个 w 点 的 亮度 值 
增加 1, 每 个 4; 点 的 亮度 值 减少 1, 这 样 整个 图 像 的 平均 亮度 保持 不 变 . 适当 地 
调整 参数 ,Patchwork 方法 对 JPEG 压缩 FIR 滤波 以 及 图 像 裁 前 有 一 定 的 抵抗 
力 , 但 该 方法 戏 入 的 信息 量 有 限 . 为 了 嵌入 更 多 的 水 印信 息 ,可 以 将 图 像 分 块 , 然 
后 对 每 一 个 图 像 块 进行 嵌入 操作 . 


4 习题 5. 1 
第 本 本 本 琵 号 训 
用 直接 取 余 法 和 平方 取 中 法 ,这 里 取 模 p= 二 907 ,分别 计算 m==6241 的 Hash 
值 , 当 m 被 改 为 mi 二 6242 ,mz 二 7241, 问 它们 的 Hash 值 发 生 了 什么 改变 ? 你 发 
现 了 什么 规律 ? 
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"5.2 校正 码 


5.2.1 信息 码 与 检定 码 


网 络 通信 时 不 能 完全 避免 发 生 错误 . 一 个 简单 的 检 错 方法 就 是 把 传送 的 信 
号 再 送 一 遍 , 如 两 次 不 一 致 则 必定 有 错 ; 如 果 两 次 传递 都 出 同样 的 错 不 就 查 不 出 
来 了 吗 ? 但 同时 出 错 的 可 能 性 是 多 少 ? 假定 一 次 出 错 的 概率 是 p, 这 里 p 必须 是 
非常 小 ,比如 p 是 十 万 分 之 一 , 则 两 次 同时 出 错 的 概率 就 是 p? , 即 百 亿 分 之 一 . 
碰 到 了 这 种 同时 出 错 的 事 , 就 好 比 天 上 一 颗 流星 正好 砸 到 了 你 头 上 ,只 能 说 是 天 
意 了 .有 时 知道 有 错 还 不 够 , 因 一 个 信号 被 送 两 次 而 不 相同 ,肯定 是 错 了 ,但 却 不 
知 谁 对 谁 错 , 若 每 个 信号 传 三 次 , 取 其 多 数 ,由 概率 看 来 ,是 极 具有 自动 更 正 的 功 
能 的 ,但 代价 是 否 太 大 ? 有 没有 更 经 济 的 方法 ? 

为 了 说 明 原 理 , 用 数码 0,1 所 组 成 的 数字 串 来 代表 信号. 现在 计算 机 中 英文 
通信 所 用 的 ASCII 电码 是 由 七 位 数码 组 成 的 . 例如 ,a 是 1100001,b 是 1100010， 
1 是 0110001. 因 每 位 数 有 两 个 可 能 性 ,所 以 一 共 可 以 排出 2 = 二 128 个 不 同 的 电 
码 , 表 示 英 文大 小 写字 母 , 标 点 符号 ,数字 ,希腊 字母 等 符号 .为 了 说 明 简 洁 ,用 两 
个 数码 来 表示 4 个 信号 , 即 

数码 00 01 10 11 
表示 信号 a b c d 

若是 a 为 00 误 传 成 了 01, 接 收 者 会 以 为 信号 是 b, 无 法 确定 是 否 有 错误 , 若 
每 个 信号 传 两 次 , 即 a 以 0000 传 ,b 以 0101 传 ,等 等 . 则 如 果 0000 错 传 成 了 
0100, 则 接收 者 就 知道 出 错误 了 ,但 却 不 知 它 是 来 自 0000 还 是 0101, 由 于 二 者 
都 只 含 一 个 错误 . 当然 0100 也 可 能 是 由 1111 误 传 而 来 ,但 因 出 现 多 个 错误 比 出 
现 一 个 错误 的 机 会 小 得 多 ,最 好 的 选择 是 假定 只 有 一 个 错误 ,这 是 引用 了 统计 学 
上 常用 的 最 大 可 能 原则 . 也 是 日 常 推测 事情 真相 的 原则 . 之 所 以 知道 0100 信号 
有 错 , 是 因为 0100 不 在 对 方 输出 的 码 中 , 因 对 方 只 可 以 输出 0000,0101,1010， 
及 1111 的 其 中 之 一 ,可 见 若 要 能 检 错 ,输出 码 不 能 占用 了 全 部 可 能 的 码 字 ,为 
此 ,给 出 以 下 的 定义 . 

定义 5.1 用 位 0 或 1 作为 一 个 单元 的 输出 输入 信号 , 称 为 一 个 位 码 系 
统 , 其 中 任 一 信号 称 为 一 个 n 位 码 字 或 码 . 

在 nn 位 码 系 统 中 ,其 前 m(m 二 位 称 为 信息 码 , 即 要 传 的 信号 ,而 后 :一 "一 
m 位 称 为 检定 码 ,是 用 来 检定 或 改正 错误 的 . 





“5.2 ”校正 码 EO 


以 重复 传送 为 例 , 其 前 两 位 是 信息 码 , 后 两 位 是 检定 码 , 其 中 n=4,m 二 2， 
1 二 2. 信 号 的 表示 是 


信号 信息 码 ”输送 码 ”检定 码 


a 00 0000 00 
b 01 0101 01 
[> 10 1010 10 
d 11 1111 11 


说 检定 位 是 指 可 以 知道 至 多 有 k 位 数码 错 了 ,而 校正 & 位 是 指 把 至 多 有 
位 错 的 位 置 找 出 来 . 

用 上 面 的 重复 输送 码 ,可 以 检 错 一 位 ,但 不 能 更 正 错误 ,对 检 错 一 位 的 要 求 
而 言 , 这 种 重复 输送 是 否 是 经 济 ? 答案 是 否定 的 ,在 下 面 会 谈 到 . 

为 了 讲 清 楚 校 正 码 原 理 , 先 给 出 码 字 的 表示 和 距离 及 离散 度 的 概念 . 

令 Z=(0,1) ,im 一 (zz ,Xn)|x;E2}) 表 示 信 息 码 集合 , 则 mm 位 码 字 
一 共有 2” 个 元 素 . 同样 用 Z" 表示 所 有 位 码 的 集合 . 

编码 就 是 把 Z” 中 的 元 素 典 入 到 Z" 中 去 的 映射 ,嵌入 是 表示 前 x 个 分 量 不 
变 ; 以 重复 码 为 例 ,这 个 映射 就 是 

fe (X19T2 AT Tz TX1 TX2 ). 

令 A=/(2Z"), 即 A 为 2" 在 /之 下 的 像 , 称 为 输出 码 表 .显然 ,ACZ", 向 量 
(zz2as"… rm) 的 分 量 x; 取 具 体 的 0 或 1 时 ,一 般 不 加 逗 点 ,例如 (0101). 

定义 5.2 在 编码 中 ,如 果 在 收 到 的 位 码 字 中 有 位 或 & 位 以 下 的 错误 
时 ,能 知道 收 到 的 码 字 有 错 , 则 说 该 编码 能 检定 & 位 错误 ; 若 能 校正 此 & 位 错误 ， 
则 说 该 编码 能 校正 & 位 错误 . 

对 于 一 个 m 位 的 信息 码 ,问题 是 最 少 要 加 上 多 少 位 的 检定 码 ,使 之 可 以 自 
动 检 定 或 更 正 不 超过 位 的 错误 ? 这 里 ,m 与 & 为 已 知 数 ,而 1 为 待定 的 数 . 


5.2.2 Hamming 距离 与 离散 度 


定义 5.3(Hamming 距离 ) 设 X,Y 为 Z" 中 的 两 个 元 素 , 规 定 X 与 Y 之 间 
的 距离 为 及 (X,Y)= 二 X,Y 中 不 相同 的 数码 个 数 . 

例 5.7 设 X=(1010),Y 王 (1001) , 因 X 与 了 第 三 .四 位 共有 两 位 不 相同 ， 
故 H(X,Y)=2. 

车 令 0 = 二 (0,0,…,0), 则 互 (X,0) 一 X 中 含 1 的 个 数 , 用 |X| 表 示 , 称 为 X 
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的 长 度 . 

令 X 一 (zz yz) 一 (yy yw), 加 减 运算 按 向 量 的 加 减 运算 定 
义 , 即 素 +Y 王 (z 十 yz 十 wy 十), 这 里 ,zi 十 w(G 王 1,2,…,72) 是 在 二 
元 域 z=={0,1}) 中 计算 , 即 1 土 1=0 土 0 二 0,1 土 0==0 土 1=1;1，1=1,1。0 
0，1 二 0. 这 样 Z" 就 作成 一 个 Z 上 的 向 量 空 间 了 . 不 难看 出 , 若 Z" 的 一 个 非 空子 
集 A 对 加 法 封闭 , 则 A 就 作成 一 个 Z" 子 空间 . 

由 上 面 的 讨论 ,可 以 看 出 X,Y 的 距离 等 于 XX 十 Y 中 1 的 个 数 , 且 容易 得 到 下 
面 的 一 些 性 质 . 

定理 5.1 设 XY,UE2Z", 则 ， 

(1) X 十 Y 一 X 一 Y ,特别 地 X 一 一 X; 

(2) 若 XFY, 则 XX 十 Y 关 0; 

(3) H(X,Y)=|X—Y|; 

(4) H(X,Y) 志 HH(X,0) 十 H(U,Y) (三角 不 等 式 ). 

定义 5.4 设 ACZ",d(A)=min{|X 一 Y||X 关 Y, YX,YE A), 称 为 A 的 离 
散 度 (disperse), 即 d(A) 为 A 中 不 同 元 素 间 距离 的 最 小 值 . 

定理 5.2 若 A 为 Z" 的 一 个 子 空 间 , 则 4d(A)=min{|X|| Y0XEA). 

证 因 A 对 加 法 封闭 ,而 Z 一 Y=Z 十 Y=X 在 A 中 有 解 ,因此 min{1Z 一 Y|| 
ZzY,VZ,YEA} 和 min{|X||YV0 关 XEA} 是 同一 集合 . 

定理 5.3 设 A 为 一 码 表 , 则 它 能 检验 出 至 多 & 位 错误 当 且 仅 当 d(A) 宇 k 十 1. 

证 设 dA) 三 & 十 1, 和 为 XX 的 误 传 . 因 |Xi 一 XX| 二 k, 而 4d(A) 宇 & 十 1, 故 
Xi 不 在 A 中 ,因此 必定 有 错 . 

若 d(A) 三 k, 则 存在 X,YEA,|X 一 Yk, 故 Y 可 以 认为 是 X 的 原 像 的 误 
传 ,与 假设 可 验 出 个 错误 的 要 求 不 合 . 

由 定理 5. 3 可 知 ,车 要 检定 输送 的 码 字 是 否 有 一 个 或 一 个 以 下 的 错误 ,得 要 
有 <c(A)> 2, 若 不 加 检定 码 ,A 的 元 素 缘 为 信息 码 , 则 d(A)=1, 不 可 能 检定 错 
误 . 因此 至 少 要 加 一 位 检定 数码 . 现在 要 证 明 只 要 加 一 位 检定 数码 就 足以 检定 一 
位 的 错误 ,因此 重复 输送 是 不 必要 的 . 令 O(X) 表 示 X 中 1 的 个 数 的 奇偶 数 
(parity) ,容易 证 明 下 面 的 定理 . 

定理 5.4 若 久 去 Y,O(X)=O(Y), 则 H(X,Y) 宇 2. 

因此 ,车 A 中 元 素 均 有 相同 的 奇偶 数 , 则 可 以 检 出 在 输送 时 出 的 一 位 错误 . 
很 容易 使 得 所 有 码 表 中 的 元 素 都 有 相同 的 奇偶 数 , 只 要 在 信息 码 后 加 上 一 位 奇 
偶 检 定 码 使 之 成 为 一 个 含有 偶数 个 1 的 输送 码 就 可 以 了 ,因此 对 前 面 的 四 个 信 
号 而 言 ,可 以 检定 一 个 错 的 编码 法 是 令 
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a 一 000， b=011, ce 一 101， d=110. 


奇偶 检定 码 与 原 码 字 长 度 mm 无关, 奇偶 检定 码 在 信息 编码 中 被 广泛 使 用 ， 
例如 计算 机 中 的 ASCII 码 都 是 七 位 再 加 一 位 奇偶 检定 码 . 因此 a 实际 是 八 位 
的 11000011. 

车 要 使 编码 有 检定 两 个 错 的 功能 ,必须 要 d(A) 宇 3, 但 对 于 检定 多 位 错误 ， 
可 以 采用 信息 摘要 的 方式 进行 检定 ,这 样 更 快 更 有 效 ,例如 余数 的 方式 ,无 需 采 
用 离散 度 的 方式 . 


5.2.3 校正 码 的 检定 码 


校正 码 又 称 为 纠 错 码 ,其 理论 和 结果 在 信息 通信 中 有 着 重要 的 应 用 . 

定理 5.5 一 个 输出 码 表 A 能 校正 至 多 & 位 错 码 当 上 且 仅 当 d (A) 宇 2k 十 1. 

证 “=” 设 d(A) 宇 2k 十 1. 需要 证 明 若 X 关 Y,X 误 传 成 X,Y 误 传 成 Y,， 
其 错误 均 不 超过 个 , 则 Xi 去 Yi. 

因 |X 一 Xi | 志 k,lY 一 Yi | 才 k, 由 |X 一 了 | 之 2 十 1 及 三 角 不 等 式 | 和 一 7| 委 
| 于 一 Yi 十 [Yi 一 了 1, 得 

|Xi—Yi|2|X YI—|Y—Y| 宇 |X—Y| 一 |X 一 Xi| 一 |Y 一 Yi | 之 1,; 即 X 
与 Y 不 可 能 混合 误 传 . 

“过 ” 设 4(4) 志 2k, 则 可 找到 六 ,YEA,|X 一 了 | 二 gq<2k. 不 妨 假定 X 与 Y 在 
前 gq 个 位 置 上 不 同 , 取 XX 与 X 仅 在 前 & 个 位 置 上 不 同 , 则 

(Xi—X|=k,， |X—Y|=g—k<2k—k=. 
因 不 知 Xi 是 来 自 X 还 是 来 自 Y, 故 错误 不 能 改正 . 

因此 车 要 编 一 个 可 以 改正 个 (或 个 以 下 ) 的 校正 码 , 只 要 在 每 个 为 m 位 
的 信息 码 后 加 若干 位 的 数码 ,使 得 它 的 输送 码 有 2k 十 1 的 离散 度 就 可 以 了 . 

定理 5.6 mm 个 数码 的 信息 码 表 A ,加 上 * 位 检 错 码 , 使 能 校正 至 多 & 位 错 
误 , 则 上 必 满 足 : 1 十 Qi 十 C2 十 … 十 Ct ,其 中 n=m 十 t. 

证 在 A 中 有 2 个 码 字 ,因为 是 校正 码 , 任 一 码 字 错 了 0,1,…,k 位 时 必 不 
会 与 男 一 错 了 0,1,…,k 位 的 码 字 相同 . 因为 每 个 码 字 有 Ci 个 与 它 差 1 位,C? 
个 差 2 位 ,…, 加 上 自己 ,A 中 每 一 个 元 素 都 占 了 1 十 Gi 十 GG 十 … 十 Cs 个 码 位 , 因 
Z" 只 有 2* 个 元 素 , 故 (1 十 Ci 十 G2 十 … 十 Ct)2" 才 2* 二 2"+t ,消去 2* 即 可 . 


5.2.4 线性 码 


一 般 编 码 可 以 有 多 种 变化 ,如 果 检 定 码 为 信息 码 的 线性 组 合 , 则 称 为 线性 
码 ,或 群 码 . 当 要 纠正 的 错误 个 数 & 二 1 时 ,选择 线性 码 较 为 简单 . 
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Fee, AMA=1(D) 


(CE 

这 里 EE 是 m 阶 单位 矩阵 ,D 是 mr Xt 和 矩阵 ,n= 二 m 十 1, 这 时 线性 码 可 简 记 为 

f: XX PX, 二 X,(E,D) 二 有 (X,), 找 D 使 得 d4(A) 宇 2k 十 1 是 制造 校正 码 的 关 
键 ,但 这 个 原理 并 不 复杂 ?7]. 

D 

sv 


] 才 X, = (zi ,x2 x 则 


D 
xv=oxsxeD)[ 
E 


t 


|=Xp+x.D=0, 


注意 这 里 加 法 是 二 元 域内 计算 . 
Wh 
将 V 按 行 分 抉 V 二 | “|, 则 有 XV 二 》 zu = 0, 由 此 有 下 面 的 结论 . 
2 i=l 
Un 


定理 5.7 车 没有 2k 或 2k 个 以 下 的 vi ,vo，…,v, 加 起 来 为 0, 则 
cd(A) 志 24 十 1. 


证 由 xv 二 0, 但 没有 2 或 24 个 以 下 的 www,…,w 加 起 来 为 0, 故 
i=1 


zzz 和 yz 中 1 的 个 数 宇 2k 十 1, 因 此 VY0 隆 XEA,|X| 宇 2k 十 1. 又 因 A 是 加 法 
闭 子 集 , 故 是 Z 的 子 空间 ,因此 &(A) 一 min|X| 之 2A 十 1， 

定理 5.8 当 &==1, 则 任何 个 不 同 的 v; 可 以 使 得 d(A) 三 3, 又 由 此 法 知 ， 
此 时 1 一定 满 足 m 二 2 一 t 一 1. 

证 因为 任意 两 个 不 同 向 量 加 起 来 不 为 0, 由 定理 5.7,d(A) 宇 3. 
因为 1 位 检定 码 一 共有 2' 一 1 个 非 0 向 量 . 又 因 个 vw; 都 不 相同 ,D 各 行 不 
同 且 不 同 于 E 的 各 行 , 因 此 检定 码 X,D 可 取 的 就 只 有 2 一 1 一 上 一 2 一 :一 1, 因 此 
说 委 和 一 上 一 外 

当 A& 王 1, 若 不 满足 mm 及 2 一 :一 1, 则 不 满足 4d(A) 宇 2 十 1 二 3, 则 不 能 制 成 任 
何 校 正 码 . 因此 , 当 & 二 1, 满 足 条 件 六 2 一 :一 1 制 出 的 校正 码 上 最 小 . 

例 5.8 考查 mm 一 4,k 二 1 时 的 校正 码 . 由 4 委 2 一 :一 1 知 , 最 小 的 上 一 3, 此 
时 V 中 的 wv; 选 法 只 有 1 种 ,全 部 非 零 向 量 都 要 用 上 . 
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i 
ee 
Li 
1 | 
1 
V=|0 1 1|， 因 此 (E D7D)= 
CE | 
二季 交 
. moOTLi0Y1 


二 人 
0 on 
译 码 方法 : 当 错误 不 超过 1 个 时 ,比较 收 到 的 信号 和 和 A 的 所 有 元 素 , 取 其 


最 接近 者 . 例如 又 = (0101000) ,与 表 5-1 比较 , 知 与 它 最 接近 的 是 0111000, 故 
X=(0111000). 


表 5-1 m=4,k==1 时 的 校正 码 编码 





S 


























0 
0 
0 
0 
0 
0 
0 
0 









































车 mm 较 大 时 ,A 有 2” 个 元 素 , 比 较 计 算 量 较 大 , 令 


而 王 (0…055 ej 一 (0…010…0)， 
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因为 只 有 1 位 出 错 , 故 必 有 iE€ {1,2,…,n) ,使 得 处 十 e;: EA, 故 (XX 十 eV 二 0, 即 
XV=eiV, 故 只 要 比较 XV 和 eiV. 当 m 宇 4,2" 尖 nn 十 1, 这 样 比较 可 以 显著 提高 


5.2.5 循环 码 与 BCH 码 


当 要 纠正 的 错误 个 数 & 大 于 1 时 ,编码 要 复杂 得 多 ,一 般 用 循环 码 . 

对 循环 码 而 言 ,假如 位 序列 c 二 (co ,cl,… ,cs-1) 是 有 效 字 码 ,将 字 码 c 循 
环 地 向 左 移 一 个 位 置 得 到 的 序列 (ci ,cs，… ,cs-1,co) 也 是 有 效 字 码 . 其 特点 是 码 
的 结构 可 用 代数 的 方法 来 表示 、 分 析 与 构造 ,可 反复 利用 移 位 寄存 器 . 例如 ,n 位 
码 c 王 (coycly,…yc-i) 相 对 应 的 7 一 1 次 多 项 式 为 c(z)= 王 co 十 ciz 十 … 十 
cc-az ,可 用 来 表示 、 分 析 与 构造 循环 码 . 

将 字 码 c 循环 地 向 左 移 一 个 位 置 , 则 循环 算 子 就 可 以 描述 为 工 (c(Cz)) 一 
zc(Cz)mod(z 一 1). 任 取 一 个 码 字 c, 集 合 {c, 工 (c) ,2 (c) ,3(c)，…} 及 其 线性 组 
合 ,构成 了 一 个 线性 循环 子 码 ,c 就 称 为 这 个 线性 循环 子 码 的 生成 元 . 设 给 定 生成 
元 所 对 应 的 多 项 式 为 ce(x) , 则 对 任何 一 个 多 项 式 a(x), 有 alz)c(x)mod(x" 一 1) 为 
许 用 码 字 . 

BCH 码 是 一 类 重要 的 循环 码 , 以 发 现 者 (Bose-Chaudhurl-Hocquenghem) 
第 一 个 字母 命名 ,是 自 1959 年 发 展 起 来 的 一 种 能 纠正 多 位 错误 的 循环 码 . 设 Fr 
是 一 有 限 域 ,其 中 g 是 素数 或 素数 的 竹 ,(n,g) 二 1,F, 上 的 [n,kj 循 环 码 C 的 生成 
多 项 式 按 如 下 方法 构成 . 

设 mm 是 满足 g”" 三 1(modn) 的 最 小 正 整 数 , 通 常 称 为 g 对 模 n 的 指数 . 设 a 是 
域 GF(g) 的 单位 原 根 ,m” (xz) 是 ai 的 极 小 多 项 式 , 则 生成 多 项 式 为 

gw)= lm(m rm ym te Cys 
其 中 lem 表示 最 小 公 倍 式 , 且 5 宇 0,d 宇 1, 这 时 ,C 为 设计 距离 为 d 的 一 个 g 元 
BCH 码 . 设 g(x) 的 次 数 9(g(x)) 二 n 一 &, 校 验 多 项 式 h(x) 的 次 数 9 (h(x)) 二 ， 
且 g(x)h(z)==x" 一 1, 则 码 字 c==(eoyc… ,cs-1) EC 对 应 的 码 字 多 项 式 c(x)= 
co 十 cz 十 十 cix”!= 二 a(z)g(x) ,其 中 a(z)EF,Lzj,9La(z) jk—1a(zr) 
称 为 与 该 码 字 对 应 的 信息 多 项 式 . 

由 这 个 g(x) 所 生成 的 分 组 长 为 n 的 循环 码 称 为 BCH 码 . 当 2 王 1 时 ,一 
g” 一 1, 称 C 为 本 原 BCH 码 , 当 n=g" 一 1 的 因数 时 , 称 C 为 非 本 原 BCH 码 . 

BCH 码 的 重要 特性 在 于 : 设计 距离 为 4 的 BCH 码 , 可 纠正 至 少 (d 一 1)/2 
个 独立 错误 . 容易 根据 纠 错 能 力 要 求 来 直接 确定 码 的 构造 , 它 的 编码 过 程 ,就 是 
根据 码 长 和 纠 错位 要 求 选择 合适 的 生成 多 项 式 ,再 用 循环 码 的 编码 方法 进行 . 然 
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而 ,BCH 码 的 译 码 远 比 编码 复杂 ,一 直 是 编码 理论 研究 中 关注 的 重要 课题 . 
BCH 码 的 纠 错 原理 如 下 : 
设 “是 有 限 域 GF(24) 的 生成 元 或 极 小 多 项 式 x 十 x 十 1 的 根 , 即 a 十 
a 十 1 二 0, 因 此 GF(24) 王 {aso 十 aa 十 aa 十 aolawEGF(2)) ,构造 矩阵 
NE 汤 a os a a 
a-( i (a)? (as)3 bead 
由 于 a 二 1,a! 二 aya? ,a sa! 二 1 十 aya’ 二 a 十 Qa? ,a' 二 Qa 十 a? ,a' 二 ;十 qa! 二 1+ 
ae 十 aa ,a =1+a’ ,as 一 w 十 aa al 一 1 十 ae 十 az ,a! 一 a 十 2 十 oa ,a =1 十 a 二 a! 十 a:， 
ao 一 1 十 邓 十 as ,ol 一 1 十 aa ,a =1; 
用 (0101)7 表示 wx 十 ,类 似 地 ,用 (1011)7 表示 1 十 民 十 a ,因为 a? = 二 a 十 a?， 
a 二 1 十 @ 十 a, 所 以 (0101)" 表示 的 就 是 只,(1011)7 表示 的 就 是 a”, 因此 
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车 在 及,k 两 位 发 生 错 误 , 则 校 验 子 





ead le 
5= = 小 
a* 二 a* 2 

1 二 a 十 a ， zs 二 a 十 a 二 (a 十 at) (a 十 artt 十 qa*) 二 zj (z? 十 a'1*)， 
因此 ,wa*= 二 a*tt 二 zy /zi 十 zx? ,，- 故 a*,at 是 方程 zx? 十 zi1x 十 (zz /zi 十 x?) 二 0 的 两 
个 根 . 

车 二 zs 二 0, 则 上 式 无 了 矛盾 ,认为 无 差错 ; 若 zs 二 二 a*, 则 认为 有 一 位 错 
误 在 大 位 . 因为 每 位 只 能 是 0 或 1, 所 以 知道 了 位 置 也 就 知道 了 如 何 改正 . 

例 5.9 BCH 纠 错 举例 . 设 在 第 7,9 位 发 生 错 误 ,在 下 述 计算 前 并 不 知道 ， 
计算 
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Zz/ 十 2 二 ?十 a 二 ?十 1 十 @? 十 a 二 a*， 








所 以 
Z2 十 oz 十 ol 一 (Z 十 os)(z 十 as) 一 0， 

根据 上 述 原理 ,可 知 在 7,9 位 发 生 错误 ,这 就 验证 了 BCH 纠 错 的 正确 性 . 

译 码 

译 码 或 解码 就 是 编码 的 逆 过 程 ,同时 去 掉 在 传播 过 程 中 混入 的 噪声 或 错误 . 
校正 码 的 译 码 是 该 编码 能 否 得 到 实际 应 用 的 关键 所 在 . 译 码 往往 比 编码 较 难 实 
现 , 对 于 纠 错 能 力 强 的 校正 码 更 复杂 . 
RS 码 
RS 码 英 文 为 Reed-solomon codes, 可 以 看 作 是 个 BCH 码 在 g==p” 元 域 上 
的 拓展 ,是 一 种 纠 错 能 力 很 强 的 特殊 的 非 二 进 制 BCH 码 , 其 纠 错 原理 和 BCH 
码 的 纠 错 原理 类 似 ,是 一 种 前 向 纠 错 的 信道 编码 ,对 由 校正 过 采样 数据 所 产生 的 
多 项 式 有 效 ; 当 接 收 器 正确 的 收 到 足够 的 点 后 , 它 就 可 以 恢复 原来 的 多 项 式 . 例 
如 , 当 % 王 2"(2 过 1) 时 ,其 码 元 符号 取 自 于 GF(2”) 的 二 进 制 RS 码 , 可 用 来 纠正 
突 发 差错 ,其 特点 是 具有 有 效 的 译 码 算法 ,可 以 通过 解 关键 方程 来 完成 . 














2 
习题 5.238 
及 天 不 2 3 鹿 
一 个 输出 码 表 A 能 校正 至 多 2 位 错 码 , 则 输出 码 表 的 离散 度 4(A) 必 须 大 
于 多 少 ? 


s.3 秘密 共享 


秘密 共享 是 一 种 将 秘密 分 割 存储 的 密码 技术 ,目的 是 阻止 秘密 过 于 集中 ,以 
达到 分 散 风险 和 容忍 入 侵 的 目的 ,是 信息 安全 和 数据 保密 中 的 重要 手段 . 秘密 共 
享 的 思想 是 将 秘密 以 适当 的 方式 拆 分 ,由 不 同 的 参与 者 管理 拆 分 部 分 ,单个 参与 
者 无 法 恢复 秘密 信息 ,只 有 若干 个 参与 者 一 同 协 作 才 能 恢复 秘密 消息 . 

(t,n) 秘 密 共 享 

秘密 K 被 拆 分 为 n 个 份额 共享 秘密 ,任意 1(2t 过 nn) 个 或 更 多 个 共享 份额 
就 可 以 恢复 秘密 下, 任何 小 于 + 个 共享 份额 不 能 得 到 秘密 . 

秘密 共享 有 如 下 好 处 : 泄露 多 到 :一 1 个 份额 都 不 会 危及 密 钥 , 且 若 一 个 份 
额 丢失 或 损坏 ,还 可 恢复 密 钥 . 秘密 共享 的 关键 是 怎样 更 好 地 设计 秘密 拆 分 方式 
和 恢复 方式 . 
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例 5.10 设 有 一 群 人 共享 秘密 ,要 求 “任何 一 个 人 不 知道 秘密 ,但 是 任何 两 
个 人 能 知道 秘密 ”. 可 以 这 样 做 : 设置 一 条 秘密 斜 线 , 然 后 宣布 秘密 就 在 斜 线 和 y 
轴 交 点 处 ,告诉 每 个 人 直线 上 一 个 不 同 点 . 过 一 点 的 直线 有 无 穷 条 ,因此 一 
不 知道 秘密 ,但 两 点 决定 一 条 直线 ,所 以 两 个 人 知道 秘密 ,如 图 5-2 所 示 . 

例 5.11 设 有 一 群 人 共享 秘密 ,要 求 “ 任 何 两 个 人 不 知道 秘密 ,但 是 任何 三 
vig re tin grit 
的 交点 处 ,告诉 每 个 人 抛物 线 上 一 个 不 同 点 . 过 两 点 的 抛物 线 有 无 穷 条 ,因此 两 
on 秘密 ,但 三 点 决定 一 条 抛物 线 , 所 以 三 个 人 知道 秘密 ,如 图 5-3 所 示 . 


亚 
(0M) 
(OM) 
0 ES 0 x 


图 5-2 2 人 共享 秘密 方案 图 5-3 3 人 共享 秘密 方案 


例 5.12 设 有 nn 个 人 共享 秘密 ,要 求 “任何 少 于 + 个 人 不 知道 秘密 ,但 是 任 
何 上 个 人 能 知道 秘密 ”可 以 设置 一 个 秘密 1 一 1 次 多 项 式 , 然 后 宣布 秘密 就 在 该 
多 项 式 和 y 轴 的 交点 处 ,告诉 每 个 人 该 多 项 式 上 一 个 不 同 点 . 设 该 多 项 式 为 y= 
a-izc 1 十 aadz 2 十 … 十 az 十 ao, 当 点 数 (ziyy) 等 于 上 时 ,可 以 通过 解 线性 方程 组 
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确定 系数 gi yar-z，… ,ao, 而 当 点 数 (zxi,yi) 小 于 1 时 ,不 能 确定 系数 a,_1， 
因为 计算 机 在 处 理 分 数 时 是 按照 小 数 近似 取 值 的 ,采用 近似 小 数 可 能 导致 
较 大 的 偏差 . 在 实际 运用 时 ,一 般 选 择 足 够 大 的 素数 p ,在 模 p 的 剩余 系 里 计算 . 
例 5.13 (3,6) 秘 密 共享 方案 . 设 有 6 人 共享 秘密 ,要 求 “ 任 何 两 个 人 不 知 
道 秘密 ,但 是 任何 三 个 人 能 知道 秘密 ”. 
设 秘密 抛物 线 为 > 一 azz2z 十 wz 二 ao ,然后 宣布 秘密 就 在 该 抛物 线 和 y 轴 交 
下 处 ;党 诉 每 个 人 该 线 下 一 外 不同 起 5 (2 905C358j)y(557D, (7 11190509) 
(10,24) ,显然 ,任意 两 点 不 能 确定 该 多 项 式 , 但 三 点 可 以 确定 . 以 取 前 三 点 为 例 ， 
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可 得 线性 方程 组 
az22 十 ai2 十 ao 一 9， 
az32 十 ai3 十 ao 一 8， 
az5 十 ai5 十 ao 一 7. 
消去 ao ,得 
5az 十 一 一 1， 
es 二 20 三 一 站 
消去 wm ,得 








6a: 王 1， wa llas, ao 三 12， 
取 素 数 p= 二 17,17 大 于 这 里 的 所 有 整数 ,有 
6as 三 1(modl17)S18a;s 三 3(modl17)=>S—a,s 三 3(mod17)=>>as 三 14(mod17),， 
di 三 一 llas (mod17)=>al 三 一 154 三 1 (mod17) ,ao 三 12(mod17). 
该 多 项 式 为 y 三 14x? 十 + 十 12(mod17). 





i 
4 习题 5. 3 也 
SR 
在 一 个 (2,4) 秘 密 共享 门限 方案 中 ,已 知 4 个 人 得 到 的 点 分 别 是 (2,31)， 
(3,42),(5,64),(7,86) ,设计 “任何 一 个 人 不 知道 秘密 ,但 是 任何 两 个 人 能 知道 
秘密 ”的 实现 方案 . 


5.4 公 钥 基础 设施 


5.4.1 PKI 基础 设施 


PKI(Public Key Infrastructure) 是 目前 被 广泛 采用 的 公 钥 基础 设施 ,是 一 
种 新 的 安全 技术 , 它 由 证 书 发 放 机 构 CA(Certificate Authority) .数字 证 书 、 公 开 
密 钥 密码 技术 和 关于 公开 密 钥 的 安全 策略 等 基本 成 分 组 成 . 采用 证 书 管理 公 钥 ， 
通过 CA ,把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 (如 名 称 ,email 身份 证 号 等 ) 搁 
绑 在 一 起 ,在 Internet 网 上 验证 用 户 的 身份 ,实现 密 钥 的 自动 管理 ,保证 网 上 数 
据 的 安全 传输 . PKI 是 利用 公 钥 和 数字 签名 技术 实现 网 络 通信 安全 的 一 种 体系 . 

Adams 和 Lloyd 给 出 的 PKI 的 定义 是 : PKI 是 通过 公 钥 概念 及 技术 实现 和 
承载 服务 的 普 适 性 安全 基础 设施 . 

一 个 有 效 的 PKI 系统 必须 是 安全 的 和 透明 的 ,用 户 在 获得 加 密 和 数字 签名 
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服务 时 ,不 需要 详细 地 了 解 PKI 是 怎样 管理 证 书 和 密 钥 的 . 

一 个 完整 的 PKI 应 用 系统 至 少 应 具有 : 

(1) 公 钥 密码 证 书 管理 ; 

(2) 黑 名 单 的 发 布 和 管理 ; 

(3) 密 钥 的 备份 和 恢复 ; 

(4) 自动 更 新 密 钥 ; 

(5) 自动 管理 历史 密 钥 ; 

(6) 支持 交叉 认证 . 

由 于 PKI 基础 设施 是 目前 比较 成 熟 \ 完 善 的 Internet 网 络 安全 解决 方案 , 国 
外 的 一 些 大 的 网 络 安全 公司 纷纷 推出 一 系列 的 基于 PKI 的 网 络 安全 产品 ,如 美 
国 的 VeriSign IJBM ,加拿大 的 Entrust、SUN 等 安全 产品 供应 商 为 用 户 提供 了 
一 系列 的 客户 端 和 服务 器 端的 安全 产品 ,为 电子 商务 的 发 展 以 及 政府 办 公 网 、 
EDI 等 提供 了 安全 保证 . 


5.4.2 密码 算法 


(1) 单 钥 密码 算法 

单 钥 密 码 算法 ,又 称 对 称 密码 算法 : 是 指 加 密 密 钥 和 解密 密 钥 为 同一 密 钥 
的 密码 算法 . 因此 ,信息 的 发 送 者 和 信息 的 接收 者 在 进行 信息 的 传输 与 处 理 时 ， 
必须 共同 持 有 该 密码 . 通常 ,使 用 的 加 密 算法 比较 简便 高 效 , 密 钥 简短 ,破译 极其 
困难 . 由 于 系统 的 保密 性 主要 取决 于 密 钥 的 安全 性 ,所 以 ,在 公开 的 计算 机 网 络 
上 安全 地 传送 和 保管 密 钥 是 一 个 严峻 的 问题 . 

(2) 双 钥 密码 算法 

双 钥 密码 算法 ,又 称 公 钥 密 码 算法 ,是 指 加 密 密 钥 和 解密 密 钥 为 两 个 不 同 密 
钥 的 密码 算法 . 公 钥 密码 算法 使 用 了 一 对 密 钥 ,一 个 用 于 加 密 信息 , 另 一 个 则 用 
于 解密 信息 ,通信 双方 无 需 事先 交换 密 钥 就 可 进行 保密 . 

(3) 认证 码 ,数字 签名 

PKI 中 广泛 的 使 用 了 认证 码 和 数字 签名 ,以 保护 信息 的 完整 性 和 不 可 否 





5.4.3 PKI 组 成 
所 有 用 户 都 有 一 个 可 以 被 验证 的 标识 ,这 就 是 数字 证 书 . 数字 证 书 是 各 实体 


在 网 上 信息 交流 及 商务 交易 活动 中 的 身份 证 明 . 利用 公 钥 将 实体 与 数字 证 书 一 
一 对 应 ,为 此 ,要 使 数字 证 书 符合 X. 509 国际 标准 ,同时 数字 证 书 的 来 源 必 须 是 
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可 靠 的 . CA 认证 机 构 就 是 一 个 网 上 各 方 都 信任 的 机 构 , 专 门 负责 数字 证 书 的 发 
放 和 管理 ,确保 网 上 信息 的 安全 ,各 级 CA 认证 机 构 的 存在 组 成 了 整个 电子 商务 
的 信任 链 . 数字 证 书 认 证 中 心 是 整个 网 上 电子 交易 安全 的 关键 环节 . 它 主要 负责 
产生 ,分 配 并 管理 所 有 参与 网 上 交易 的 实体 所 需 的 身份 认证 数字 证 书 . 每 一 份 数 
字 证 书 都 与 上 一 级 的 数字 签名 证 书 相关 联 , 最 终 通过 安全 链 追 溯 到 一 个 已 知 的 
并 被 广泛 认为 是 安全 .权威 .足以 信赖 的 机 构 : 根 认 证 中 心 . 

一 个 典型 .完整 有 效 的 PKI 应 用 系统 至 少 应 包括 : 认证 机 构 CA; 证 书 和 证 
书库 ;PKI 相关 标准 . 
认证 机 构 
认证 机 构 CA 是 PKI 的 核心 ,负责 管理 PKI 结构 下 的 所 有 用 户 ( 包 括 各 种 
应 用 程序 ) 的 证 书 , 把 用 户 的 公 钥 和 用 户 的 其 他 信息 捆绑 在 一 起 ,在 网 上 验证 用 
户 的 身份 .CA 的 核心 功能 就 是 管理 证 书 发 放 , 证 书 更 新 、 证 书 撤销 和 证 书 验 证 . 
RA(Registration Authority) 是 数字 证 书 注册 审批 机 构 . RA 系统 是 CA 的 证 书 
发 放 ,管理 的 延伸 , 它 负 责 证 书 申请 者 的 信息 录入 、 审 核 以 及 证 书 发 放 等 工作 , 同 
时 对 发 放 的 证 书 完成 相应 的 管理 功能 . 发 放 的 数字 证 书 可 以 存放 于 IC 卡 等 存储 
介质 中 . RA 系统 是 整个 CA 中 心得 以 正常 运营 不 可 缺少 的 一 部 分 . 

具体 描述 如 下 : 

(1) 接收 验证 最 终 用 户 数字 证 书 的 申请 ;确定 是 否 接受 最 终 用 户 数字 证 书 
的 申请 和 证 书 的 审批 ;向 申请 者 颁发 .拒绝 颁发 数字 证 书 ; 证 书 的 发 放 . 

(2) 接收 、 处 理 最 终 用 户 的 数字 证 书 更 新 请 求 ,证 书 的 更 新 ;接收 最 终 用 
户 数字 证 书 的 查询 .撤销 :产生 和 发 布 证 书 废止 列表 ,登记 黑 名 单 和 发 布 黑 
名 单 . 

(3) 数字 证 书 的 归档 ; 密 钥 归档 ;历史 数据 归档 . 

为 了 实现 上 述 功能 ,需要 有 : @ 注 册 服 务 器 . 通过 Web Server 建立 的 站 点 ， 
可 为 客户 提供 每 日 24 小 时 的 服务 . 客户 可 在 自己 方便 的 时 候 在 网 上 提出 证 书 申 
请 和 填写 相应 的 证 书 申请 表 . 四 证 书 申请 受理 和 审核 机 构 . 随时 接受 客户 证 书 申 
请 并 进行 审核 . @ 认 证 中 心服 务 器 . 是 数字 证 书生 成 、 发 放 的 运行 实体 ,同时 提供 
发 放 证 书 的 管理 .证 书 废止 列表 (CRL) 的 生成 和 处 理 等 服务 . 

证 书 和 证 书库 

证 书 是 PKI 的 管理 核心 ,在 使 用 范围 内 的 证 书 必 须 保持 格式 统一 ,格式 遵 
循 ITU-T X. 509 国际 标准 . 证书 内 容 包 括 : 版 本 .序列 号 .签名 算法 标识 、 签 发 
者 .CA 的 数字 签名 、 有 效 期 等 ,如 格式 的 证 书 (X. 509V3) 和 证 书 废止 列表 
CRL(X., 509 V2). 
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证 书库 采用 X. 500 系列 目录 服务 器 ,用 于 发 布 用 户 的 证 书 和 黑 名 单 信息 ， 
j 户 可 通过 标准 的 轻 量 目录 访问 协议 (Lightweight Directory Access Protocol， 
LDAP) ,查询 自己 或 其 他 人 的 证 书 和 下 载 黑 名 单 信息 . 

PKI 相关 标准 

PKI 包括 很 多 协议 标准 、 应 用 程序 与 PKI 之 间 的 关系 以 及 相应 的 标准 . PKI 
标准 使 得 多 个 PKI 可 以 交互 ,并 且 使 多 个 应 用 程序 面 对 的 是 单一 的 .固定 的 
接口 . 

例 5.14 PKI 实现 安 全 电子 邮件 案例 . 

流程 大 致 为 : 用 户 向 CA 申请 一 个 用 于 邮件 加 密 的 数字 证 书 , 然 后 将 数字 
证 书 安装 到 邮件 客户 端 ,完成 以 后 ,用 户 就 可 以 发 送 安 全 的 电子 邮件 了 . 下 面 以 
Outlook Express 为 例 ,说 明 这 个 过 程 . 

(1) 单 击 Outlook Express 一 工具 一 账户 ,分 别 建立 发 送 邮 件 账 户 userl 和 
接收 邮件 账户 user2. 

(2) 在 打开 的 “Internet 账户 "对话 框 中 , 单 击 属性 一 安全 一 签署 证 书 一 选 
择 ,选择 对 自己 的 电子 邮件 生成 签名 的 数字 证 书 , 还 可 以 在 “加 密 首选 项 ”选择 加 
密 电子 邮件 的 数字 证 书 , 这 时 ,可 以 看 到 申请 到 的 电子 邮件 证 书 . 单 击 “ 查 看 证 
书 ” 可 以 看 到 证 书信 息 , 单 击 “ 确 定 ”, 证 书 安装 成 功 . 

(3) 在 Outlook Express 中 单 击 工具 习 选项 一 安全 ,在 最 下 面 区 域 选中 “在 
所 有 待 发 邮件 中 添加 数字 签名 ”. 单 击 高 级 一 高 级 安全 设置 ,可 以 选择 加 密 邮 件 
的 位 数 、 签 名 方案 等 . 

(4) 发 送 安全 的 电子 邮件 : 将 收 件 人 添加 到 邮件 通讯 录 中 ,在 “数字 标识 ” 选 
项 中 ,导入 收 件 人 的 数字 证 书 . 写 一 封 邮件 ,用 自己 的 数字 证 书签 名 ,然后 发 送 给 
收 件 人 ,这 时 邮件 已 用 收 件 人 的 公 钥 进行 了 加 密 . 

(5) 接收 和 验证 安全 的 电子 邮件 : 收 件 人 收 到 的 电子 邮件 中 ,会 提示 该 邮件 
被 签名 和 加 密 过 , 单 击 “ 继 续 ”, 就 可 以 看 到 邮件 的 内 容 了 . 


Ge 3 WF HF TFB 
4 习题 5. 4 
此 元 元 元 元 匹 扫 
仿照 例 5. 14 PKI 实现 安全 电子 邮件 案例 ,在 Office 自 带 的 Outlook 中 实现 
安全 电子 邮件 ,并 将 每 步 操作 记录 下 来 . 
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5.5 访问 控制 


访问 控制 表示 所 有 涉及 系统 资源 访问 的 安全 问题 ,主要 包括 身份 认证 和 授 
权 . 一 个 用 户 通过 计算 机 系统 认证 后 ,并非 意 味 着 他 具有 对 系统 所 有 资源 的 访问 
权限 . 访问 控制 的 任务 就 是 要 根据 一 定 的 原则 对 合法 用 户 的 访问 权限 进行 控制 ， 
以 决定 他 可 以 访问 哪些 资源 以 及 以 什么 样 的 方式 访问 这 些 资 源 . 


5.5.1 身份 认证 


认证 一 般 可 以 分 为 消息 认证 和 身份 认证 . 消息 认证 用 于 保证 信息 的 完整 性 
和 抗 否 认 性 . 通常 用 户 要 确认 收 到 的 信息 是 否 真 实 , 是 否 伪 造 , 这 就 需要 消息 认 
证 . 身份 认证 用 于 鉴别 用 户 身 份 ,包括 识别 访问 者 的 身份 和 验证 访问 者 声称 的 身 
份 . 身份 认证 是 安全 系统 中 的 第 一 道 关 卡 . 

认证 一 般 基 于 用 户 所 知道 的 和 拥有 的 ,也 可 基于 用 户 本 身 的 生物 特征 . 认证 
又 可 分 为 静态 认证 和 动态 认证 、 软 件 认 证 和 硬件 认证 、 单 因子 认证 和 双 因 子 认 
证 . 单 向 认证 和 双向 认证 ， 

身份 认证 的 方法 

(1) 口令 : 即 用 户 名 /密码 方式 ,是 一 种 基于 “用 户 所 知道 "的 验证 手段 ,每 一 
个 合法 用 户 都 有 系统 给 的 一 个 用 户 名 /口令 对 , 当 用 户 要 求 访问 提供 服务 的 系统 
时 ,系统 就 要 求 输入 用 户 名 ,口令 ,在 收 到 口令 后 ,将 其 与 系统 中 存储 的 用 户口 令 
进行 比较 ,以 确认 被 认证 对 象 是 否 合法 . 如 果 正 确 , 则 该 用 户 的 身份 得 到 了 验证 . 
由 于 一 般 的 操作 系统 都 提供 了 对 口令 认证 的 支持 ,因此 口令 认证 对 于 封闭 的 小 
型 系统 来 说 是 一 种 简单 可 行 的 方法 .但 是 口令 是 一 种 单 因 素 的 认证 , 它 的 安全 性 
依赖 于 口令 的 保密 . 由 于 许多 用 户 为 了 防止 忘记 口令 ,经 常会 采用 容易 被 他 人 猜 
到 的 有 意义 的 字符 串 作为 口令 ,因此 极 易 造 成 泄露 .口令 一 旦 泄露 ,用 户 即 可 被 
冒充 .通常 人 们 将 口令 称 为 密码 ,但 是 密码 学 中 所 说 的 密码 通常 包含 密 钥 和 加 密 
算法 . 

动态 口令 方式 是 一 种 让 用 户 的 密码 按照 时 间或 使 用 次 数 不 断 动态 变化 ,每 
个 密码 只 使 用 一 次 的 技术 ,采用 动态 密码 卡 ,密码 生成 芯片 运行 专门 的 密码 算 
法 ,根据 当前 时 间或 使 用 次 数 生成 当前 密码 . 用 户 将 动态 令 牌 上 显示 的 当前 密码 
输入 ,由 这 个 信息 的 正确 与 否 可 识别 使 用 者 的 身份 . 

动态 口令 采用 一 次 一 密 的 方法 ,不 能 由 产生 的 内 容 去 预测 出 下 一 次 的 内 容 . 
而 且 输入 方便 ,能 符合 网 络 行为 双方 的 需要 . 但 是 如 果 客 户 端 硬件 与 服务 器 端 程 
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序 的 时 间或 次 数 不 能 保持 良好 的 同步 ,就 可 能 发 生 合 法 用 户 无 法 登录 的 问题 ,这 
使 得 用 户 的 使 用 非常 不 方便 . 

由 于 计算 机 使 用 口令 在 传输 过 程 中 可 能 被 截获 ,采用 两 端 共同 拥有 一 串 随 
机 口令 ,在 该 串 的 某 一 时 段 保 持 同步 ;两 端 共同 使 用 一 个 随机 序列 生成 器 ,在 该 
序列 生成 器 的 初 态 保持 同步 ;使 用 时 ,两 端 维持 同步 的 时 钟 . 

(2) 智能 卡 : IC 卡 认 证 方式 是 一 种 基于 “用 户 所 拥有 ”的 认证 手段 . 通过 IC 
卡 硬件 的 不 可 复制 性 可 保证 用 户 身份 不 会 被 仿冒 .但 是 由 于 每 次 从 IC 卡 中 读 取 
的 数据 还 是 静态 的 ,通过 内 存 扫描 或 网 络 监 听 等 技术 还 是 很 容易 能 截取 到 用 户 
的 身份 验证 信息 . 因此 ,静态 验证 的 方式 还 是 存在 着 根本 的 安全 隐患. 

USB Key 认证 方式 采用 软 硬 件 相 结合 ,一 次 一 密 的 强 双 因 子 认证 模式 ， 
USB Key 是 一 种 USB 接口 的 硬件 设备 , 它 内 置 单片机 或 智能 卡 芯 片 , 可 以 存储 
用 户 的 密 钥 或 数字 证 书 , 利 用 USB Key 内 置 的 密码 学 算法 实现 对 用 户 身份 的 认 
证 . USB Key 方便 ,成 本 低 , 安 全 可 靠 性 高 ,是 目前 身份 认证 的 主要 手段 之 一 . 

(3) 生物 特征 : 用 户 本 身 的 指纹 .人 脸 语音、 笔迹 等 ,采用 计算 机 的 强大 功 
能 和 网 络 技术 进行 图 像 处理 和 模式 识别 . 采用 生物 特征 技术 使 用 者 几乎 不 可 能 
被 仿冒 .但 是 到 目前 为 止 ,辨识 失败 率 还 是 偏 高 且 成 本 也 高 . 

上 面 都 是 基于 PKI 体系 的 认证 模式 ,只 能 进行 单 向 认证 , 即 系 统 可 以 认证 
用 户 , 而 用 户 无 法 对 系统 进行 认证 . 

基于 DCE/Kerberos 的 认证 机 制 是 一 种 安全 的 双向 身份 认证 技术 . 
Kerberos 既 不 依赖 用 户 登 录 的 终端 ,也 不 依赖 用 户 所 请 求 的 服务 的 安全 机 制 ， 
它 本 身 提供 了 认证 服务 器 来 完成 用 户 的 认证 工作 . 

提问 -握手 认证 协议 (Challenge Handshake Authentication Protocol， 
CHAP) 采 用 的 是 挑战 /应 答 方法 , 它 通过 三 次 握手 方式 对 被 认证 方 的 身份 进行 
周期 的 认证 ,是 一 种 安全 性 高 的 双向 认证 . 

双向 认证 还 可 以 通过 基于 公共 密 钥 的 数字 签名 实现 . 

例 5.15 动态 电子 口令 卡 设计 举例 . 令 妈 是 上 时 刻 ( 如 2017 年 4 月 1 日 0 
时 ) 到 目前 的 分 钟 的 秒 数 ,p 是 一 个 6 位 大 整数 (如 如 一 999773) ,每 一 个 动态 口 
令 卡 对 应 不 同 的 (tp) 王 上 mod p, 同 时 服务 器 的 数据 库 中 有 该 用 户 对 应 的 
(1,p), 由 于 口令 卡 的 时 间 和 服务 器 的 时 间 在 同步 流逝 ,保留 两 分 钟 的 口令 输入 
时 间 , 即 可 保证 各 个 动态 口令 卡 安 全 使 用 . 进一步 还 可 以 对 最 后 的 结果 进行 置换 
或 代 换 . 
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5.5.2 授权 


访问 控制 (Access Control) : 规定 了 服务 器 对 用 户 访问 的 限制 ,并 在 身份 识 
别 的 基础 上 ,根据 身份 对 提出 资源 访问 的 请 求 加 以 控制 . 访问 控制 决定 了 谁 能 够 
访问 系统 ,能 访问 系统 的 何 种 资源 以 及 如 何 使 用 这 些 资源 . 访问 控制 所 要 控制 的 
行为 主要 有 读 取 数据 .运行 可 执行 文件 .发 起 网 络 连 接 等 . 这 些 控制 包括 , 

(1) 入 网 访问 控制 ”为 网 络 访问 提供 了 第 一 层 访 问 控制 ,通过 控制 机 制 来 
明确 能 够 登录 到 服务 器 并 获取 网 络 资源 的 合法 用 户 、 用 户 入 网 的 时 间 和 准许 入 
网 的 工作 站 等 . 基于 用 户 名 和 口令 的 用 户 入 网 访问 控制 可 分 为 三 个 步骤 ; 用 户 
名 的 识别 与 验证 ,用户 口令 的 识别 与 验证 和 用 户 账号 的 缺 省 限制 检查 . 如 果 有 任 
何 一 个 步骤 未 通过 检验 ,该 用 户 便 不 能 进入 该 网 络 . 

(2) 网 络 权限 控 制 ”网 络 权限 控制 是 针对 网 络 非法 操作 所 提出 的 一 种 安全 
保护 措施 . 能 够 访问 网 络 的 合法 用 户 被 划分 为 不 同 的 用 户 组 ,不 同 的 用 户 组 被 赋 
予 不 同 的 权限 . 

(3) 目录 级 控制 ”访问 控制 机 制 明 确 了 不 同 用 户 组 可 以 访问 哪些 目录 、 子 
目录 ,文件 和 其 他 资源 等 ,指明 不 同 用 户 对 这 些 文件 .目录 ,设备 能 够 执行 哪些 操 
作 等 .对 目录 和 文件 的 访问 权限 一 般 有 八 种 : 系统 管理 员 权 限 、 读 权限 、 写 权限 、 
创建 权限 删除 权限 .修改 权限 .文件 查找 权限 和 访问 控制 权限 . 

(4) 属性 控制 ”属性 安全 控制 在 权限 安全 的 基础 上 提供 更 进一步 的 安全 
性 . 当 用 户 访 问 文件 .目录 和 网 络 设备 时 ,网 络 系统 管理 员 应 该 给 出 文件 .目录 的 
访问 属性 ,网 络 上 的 资源 都 应 预先 标 出 安全 属性 ,用 户 对 网 络 资源 的 访问 权限 对 
应 一 张 访问 控制 表 , 用 以 表明 用 户 对 网 络 资源 的 访问 能 力 . 属性 设置 可 以 覆盖 受 
托 者 的 有 效 权限 . 属性 能 够 控制 以 下 几 个 方面 的 权限 : 向 某 个 文件 写 数 据 、 拷 贝 
文件 .删除 目录 或 文件 .查看 目录 和 文件 、 执 行文 件 、 隐 含 文件 .共享 .系统 属性 
等 ,避免 发 生 非 法 访问 的 现象 . 

还 可 以 设 定 服务 器 登录 时 间 限 制 .非法 访问 者 检测 和 关闭 的 时 间 间 隔 等 . 

通过 授权 来 限制 用 户 可 以 对 某 一 类 型 的 资源 进行 何 种 类 型 的 访问 . 当 用 户 
试图 访问 Web 服务 器 时 ,服务 器 执行 几 个 访问 控制 进程 来 识别 用 户 并 确定 允许 
的 访问 级 别 . 

关于 授权 ,通常 使 用 访问 控制 矩阵 来 限制 主体 对 客体 的 访问 权限 . 访问 控制 
机 制 可 以 用 (S,O,4) 来 表示 ,其 中 ,S 代表 主体 集合 (访问 的 发 起 者 ),O 代表 客体 
集合 (被 访问 对 象 ) ,4 代表 属性 集合 组 成 的 矩阵 , 列 出 了 主体 (Gi 一 1,2,…,z2) 对 
客体 0; 二 1,2,…,n) 所 允许 的 访问 权限 . 
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5.5.3 防火 墙 


防火 墙 指 的 是 一 个 由 软件 和 硬件 设备 组 合 而 成 .在 内 部 网 和 外 部 网 之 间 、 专 
用 网 与 公共 网 之 间 的 界面 上 构造 的 保护 屏障 ,是 一 种 获取 安全 性 方法 的 形象 说 
法 ,用 来 加 强 网 络 访问 控制 的 特殊 网 络 设 备 ,保护 网 络 免 受 非法 用 户 的 侵入 . 防 
火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 应 用 网 关 4 个 部 分 组 成 ,防火 墙 
就 是 一 个 位 于 计算 机 和 它 所 连接 的 网 络 之 间 的 软件 或 硬件 . 该 计算 机 流入 流出 
的 所 有 网 络 通信 和 数据 包 均 要 经 过 此 防火 墙 . 

防火 墙 实 际 上 是 一 种 隔离 技术 , 它 能 允许 你 “同意 ”的 人 和 数据 进入 你 的 网 
络 , 同 时 将 你 “不 同意 ”的 人 和 数据 拒 之 门 外 , 最 大 限度 地 阻止 网 络 中 的 黑客 来 访 
问 你 的 网 络 . 

防火 墙 具有 很 好 的 保护 作用 . 入 侵 者 必须 首先 穿越 防火 墙 的 安全 防线 ,才能 
接触 目标 计算 机 . 可 以 将 防火 墙 配置 成 许多 不 同 保护 级 别 . 高 级 别 的 保护 可 能 会 
禁止 一 些 服务 ,如 视频 流 等 ,但 至 少 这 是 你 自己 的 保护 选择 . 

防火 墙 类 型 可 分 成 包 过 滤 型 防火 墙 `, 应 用 层 网 关 型 防火 墙 . 

包 过 滤 型 防火 墙 可 视 为 一 种 IP 封包 过 滤器 ,运作 在 底层 的 TCP/IP 协议 堆 
栈 上 . 只 允许 符合 特定 规则 的 封包 通过 ,其 余 的 一 概 禁止 穿越 防火 墙 (病毒 除外 ， 
防火 墙 不 能 防止 病毒 侵入 ). 这 些 规 则 通常 可 以 经 由 管理 员 定义 或 修改 ,不 过 某 
些 防火 墙 设备 可 能 只 能 套用 内 置 的 规则 . 也 能 以 另 一 种 较 宽松 的 角度 来 制定 防 
火 墙 规则 ,只 要 封包 不 符合 任何 一 项 “和 否定 规则 ?就 子 以 放行 . 现在 的 操作 系统 及 
网 络 设备 大 多 已 内 置 防火 墙 功能 . 较 新 的 防火 墙 能 利用 封包 的 多 样 属性 来 进行 
过 滤 , 例 如 : 来 源 IP 地 址 ,来 源 端 口号 .目的 IP 地 址 或 端口 号 .服务 类 型 (如 
WWW 或 是 FTP). 也 能 经 由 通信 协议 .TTL 值 来 源 的 网 域名 称 或 网 段 等 属性 
来 进行 过 渡 . 

应 用 层 网 关 型 防火 墙 就 是 常 说 的 代理 服务 器 , 它 的 好 处 在 于 对 连接 和 应 用 
数据 有 一 个 完全 彻底 的 检视 .应 用 层 网 关 通 常 被 描述 为 第 三 代 防 火 墙 . 当 受 信任 
网 络 上 的 用 户 打 算 连接 到 不 受信 任 网 络 ( 如 Internet) 上 的 服务 时 ,该 应 用 被 引 
导 至 防火 墙 中 的 代理 服务 器 . 代理 服务 器 可 以 毫 无 破绽 地 伪装 成 Internet 上 的 
真实 服务 器 . 它 可 以 对 请 求 进行 评估 ,并 根据 一 套 单个 网 络 服务 的 规则 决定 允许 
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或 拒绝 该 请 求 . 
基本 信息 是 在 TCP/IP 堆栈 的 “应 用 层 ” 上 运作 ,使 用 浏览 器 时 所 产生 的 数 
据 流 或 是 使 用 FTP 时 的 数据 流 都 是 属于 这 一 层 . 应 用 层 防 火 墙 可 以 拦截 进出 某 
应 用 程序 的 所 有 封包 ,并 且 封 锁 其 他 的 封包 . 理论 上 ,这 一 类 的 防火 墙 可 以 完全 
阻 绝 外 部 的 数据 流 进 到 受 保护 的 机 器 里 ,通过 监测 所 有 的 封包 并 找 出 不 符 规则 
的 内 容 , 可 以 防范 电脑 蠕虫 或 是 木马 程序 的 快速 蔓延 . 

个 人 防火 墙 

前 面 防火 墙 的 技术 都 可 以 用 于 个 人 防火 墙 .个 人 防火 墙 是 防止 电脑 中 的 信 
息 被 外 部 侵袭 的 一 项 技术 ,在 系统 中 监控 .阻止 任何 未 经 授权 的 数据 进入 或 发 出 
到 互联 网 及 其 他 网 络 系统 .通常 是 一 个 位 于 计算 机 和 它 所 连接 的 网 络 之 间 的 软 
件 . 计算 机 与 网 络 的 所 有 通信 均 要 经 过 此 防火 墙 . 

目前 在 Windows 操作 系统 下 比较 知名 的 防火 墙 有 ZoneAlarm, Norton 
Personal Firewall, Sygate Personal Firewall, 天 网 防火 墙 ( 中 国 ), Malware 
Defender Malware Defender( 中 国 360) 等 . 

防火 墙 设置 

以 Windows 7 为 例 , 单 击 开始 按钮 一 控制 面板 Windows 防火 墙 一 打开 或 
关闭 防火 墙 . 如 果 有 特殊 要 求 , 可 以 进入 高 级 设置 进行 逐 项 设置 ,例如 入 站 规则 
和 出 站 规则 等 . 

















5.6 协议 


网 络 协议 的 简称 为 协议 ,是 机 器 在 网 络 之 间 通 信 时 的 一 种 语言 ,网 络 协议 是 
通信 计算 机 双方 必须 共同 遵从 的 一 组 约定 . 如 怎么 样 建立 连接 、 怎 么 样 互相 识别 
等 .只 有 遵守 这 个 约定 ,计算 机 之 间 才 能 相互 通信 交流 . 

网 络 安全 协议 
网 络 安全 协议 是 营造 网 络 安全 环境 的 基础 ,是 构建 安全 网 络 的 关键 技术 . 设 
计 并 保证 网 络 安全 协议 的 安全 性 和 正确 性 能 够 从 基础 上 保证 网 络 安全 ,避免 因 
网 络 安全 等 级 不 够 而 导致 网 络 数据 信息 丢失 或 文件 损坏 等 信息 泄露 问题 . 

网 络 安全 协议 按 其 功能 可 以 分 为 : 

(1) 密 钥 交换 协议 . 一 般 情 况 下 是 在 参与 协议 的 两 个 或 者 多 个 实体 之 间 建 
立 共 享 的 秘密 ,通常 用 于 建立 在 一 次 通信 中 所 使 用 的 会 话 密 钥 . 

(2) 认证 协议 .认证 协议 中 包括 身份 认证 协议 、 消 息 认证 协议 .数据 源 认证 
和 数据 目的 认证 协议 等 ,用 来 防止 假冒 . 自 改 .否认 等 攻击 . 
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(3) 认证 和 密 钥 交 换 协议 . 这 类 协议 将 认证 和 密 钥 交 换 协议 结合 在 一 起 ,是 
网 络 通信 中 最 普遍 应 用 的 安全 协议 . 

认证 协议 

认证 是 证 实 信息 交换 过 程 有 效 性 和 合法 性 的 一 种 手段 ,认证 包括 对 通信 对 
象 的 认证 和 消息 内 容 的 认证 ,通信 对 象 的 认证 可 以 分 为 身份 认证 与 设备 认证 ,一 
般 将 设备 之 间 的 认证 称 为 认证 协议 . 

认证 协议 最 常用 的 方法 是 采用 “挑战 /应 答 ” 方 式 , 设 备 双方 将 通过 这 种 “ 双 
方 约定 的 协议 ”完成 挑战 /应 答 的 认证 过 程 . 认证 协议 主要 通过 密码 技术 实现 . 

基于 对 称 密码 的 认证 协议 ,其 特点 是 认证 双方 A 和 B 同时 分 配 了 一 个 共享 
的 对 称 密 钥 ; 

基于 公 钥 密码 的 认证 协议 ,其 基本 思想 是 基于 每 方 拥 有 公私 钥 对 , 公 钥 是 公 
开 , 私 钥 保 密 , 认 证 过 程 是 验证 对 方 是 否 具 有 其 公 钥 所 对 应 的 私 钥 . 双方 一 般 是 
利用 随机 数 或 者 时 间 标 记 进 行 挑战 /应 答 交 互 . 

基于 密码 学 中 的 散 列 函数 的 认证 协议 ,通过 散 列 函数 实现 两 个 实体 间 的 相 
互 认证 . 

常见 的 网 络 安全 协议 有 : 

网 络 层 的 安全 协议 IPSec 

传输 层 的 安全 协议 SSL/TLS 

应 用 层 的 安全 协议 : 

SHTTP(Web 安全 协议 ) 

PGP( 电 子 邮 件 安 全 协议 ) 

S/MIME( 电 子 邮 件 安全 协议 ) 

MOSS( 电 子 邮 件 安全 协议 ) 

PEM( 电 子 邮件 安全 协议 ) 

SSH( 远 程 登录 安全 协议 ) 

Kerberos( 网 络 认 证 协议 ) 等 . 

并 不 存在 最 佳 认证 协议 ,一 般 对 于 一 个 特定 的 场景 ,一 个 认证 协议 是 否 最 佳 
还 依赖 于 多 种 因素 . 例如 Kerberos 具有 优点 : 通过 对 实体 和 服务 的 统一 管理 实 
现 单一 注册 ,也 就 是 说 用 户 通过 在 网 络 中 的 一 个 地 方 的 一 次 登录 就 可 以 使 用 网 
络 上 他 可 以 获得 的 所 有 资源 ,但 是 Kerberos 也 存在 问题 : 服务 器 的 损坏 将 使 
得 整个 安全 系统 无 法 工作 ; @ 用 户 密 钥 是 由 用 户口 令 生 成 的 ,可 能 受到 口令 猜 
测 的 攻击 ; @@ 使 用 了 时 间 戳 ,因此 存在 时 间 同 步 问 题 ; @ 当 该 协议 用 于 某 一 应 用 
系统 时 ,该 系统 的 客户 端 和 服务 器 端 软件 都 要 作 修 改 . 
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5.7 病毒 和 木马 


计算 机 病毒 (computer virus) 是 一 个 在 计算 机 程序 中 插入 的 破坏 计算 机 功 
能 或 者 数据 的 程序 ,能 够 自我 复制 和 影响 计算 机 使 用 ,就 像 生物 病毒 一 样 ,具有 
自我 繁殖 、 互 相传 染 以 及 激活 再 生 等 生物 病毒 特征 ,能够 快速 蔓延 ,又 常常 难以 
根除 . 它们 能 把 自身 附着 在 各 种 类 型 的 文件 上 , 当 文件 被 复制 或 从 一 个 用 户 传 送 
到 另 一 个 用 户 时 ,它们 就 随同 文件 一 起 草 延 开 来 . 计算 机 病毒 不 是 天 然 存在 的 ， 
是 人 利用 计算 机 软件 和 硬件 所 固有 的 脆弱 性 编制 的 一 组 指令 集 或 程序 代码 . 它 
能 潜伏 在 计算 机 的 存储 介质 或 程序 的 空隙 里 ,条 件 满 足 时 即 被 激活 ,通过 修改 其 
他 程序 的 方法 将 病毒 程序 本 身 精确 拷贝 或 者 演化 后 植 和 人 其 他 程序 中 . 从 而 感染 
其 他 程序 ,对 计算 机 资源 进行 破坏 ,危害 性 很 大 . 

计算 机 病毒 具有 传播 性 .隐蔽 性 .感染 性 潜伏 性 .可 激发 性 .表现 性 或 破坏 
性 . 计算 机 病毒 的 生命 周期 : 开发 期 一 传染 期 一 潜伏 期 一 发 作 期 一 发 现 期 一 消 
化 期 一 消亡 期 . 病毒 的 传染 一 般 是 两 种 方式 : 一 是 网 络 , 二 是 U 盘 或 存储 卡 . 由 
于 电子 邮件 的 广泛 使 用 ,通过 互联 网 邮件 和 网 页 传递 的 病毒 要 远 远 高 于 后 者 . 

木马 (Trojan) ,也 称 木马 病毒 ,木马 与 计算 机 网 络 中 常常 要 用 到 的 远程 控制 
软件 有 些 相 似 , 但 由 于 远程 控制 软件 是 “善意 ”的 控制 ,因此 通常 不 具有 隐蔽 性 . 
木马 则 完全 相反 ,有 很 强 的 隐蔽 性 ,木马 要 达到 的 是 “偷窃 ”性 的 远程 控制 . 它 通 
过 一 段 木马 程序 来 控制 另 一 台 计 算 机 . 木马 通常 有 两 个 可 执行 程序 : 一 个 是 客 
户 端 , 即 控制 端 , 另 一 个 是 服务 端 , 即 被 控制 端 . 而 所 谓 的 “黑客 ? 正 是 利用 “控制 
器 ?进入 运行 了 “服务 器 ”的 计算 机 . 运行 了 木马 程序 的 计算 机 变 为 “服务 器 后， 
该 计算 机 就 会 有 一 个 或 几 个 端口 被 打开 ,使 黑客 可 以 利用 这 些 打 开 的 端口 进入 
计算 机 系统 . 木马 的 设计 者 为 了 防止 木马 被 发 现 , 会 采用 多 种 手段 隐藏 木马 . 木 
马 的 服务 一 旦 运行 并 被 控制 端 连接 ,其 控制 端 将 享有 服务 端的 大 部 分 操作 权限 ， 
例如 给 计算 机 增加 口令 ,浏览 .移动 .复制 .删除 文件 ,修改 注册 表 ,更 改 计算 机 配 
置 等 . 随 着 病毒 编写 技术 的 发 展 , 木 马 程序 对 用 户 的 威胁 越 来 越 大 ,尤其 是 一 些 
木马 程序 采用 了 极其 狭 独 的 手段 来 隐蔽 自己 ,使 普通 用 户 很 难 在 中 毒 后 发 觉 . 

为 了 避免 中 毒 时 的 困扰 ,可 以 按 下 面 的 方法 预防 病毒 和 木马 : 

(1) 常常 使 用 Windows Update 的 功能 : 因为 很 多 病毒 利用 Windows 本 身 
的 漏洞 进行 攻击 , 像 这 些 利 用 Windows 本 身 漏洞 进行 攻击 的 病毒 ,即使 安装 了 
杀毒 软体 ,也 未 必 能 防范 . 

(2) 安装 正规 公司 的 杀毒 软件 和 提供 的 防火 墙 ,并 随 开 机 运行 ;经 常 更 新 病 
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(3) 不 要 轻易 下 载 小 网 站 的 软件 与 程序 . 因为 这 些 网 站 很 有 可 能 就 是 网 络 


(4) 不 要 随便 打开 某 些 来 路 不 明 的 E-mail 与 附件 程序 和 链接 . 

(5) 不 要 在 线 启 动 、 阅 读 某 些 可 疑 文件 ,否则 您 很 有 可 能 成 为 网 络 病毒 的 传 
播 者 . 

(6) 从 其 他 计算 机 拷贝 文件 到 U 盘 , 特 别 是 学 校 机 房 的 计算 机 多 装 有 还 原 
卡 , 不 能 及 时 升级 系统 补丁 和 病毒 库 , 容 易 带 有 病毒 或 木马 ,所 以 拷贝 U 盘 文 件 
可 以 先 用 杀毒 软件 检查 一 遍 , 再 执行 安装 或 打开 命令 . 


附录 A 


课程 实验 


A.1 实验 1 维 吉 尼 亚 密码 的 实现 


实验 目的 

(1) 帮助 学 生 掌握 维 吉 尼 亚 密码 系统 的 加 密 、 解 密 过 程 , 能 够 利用 所 学 过 的 
编程 语言 ,实现 该 密码 系统 . 使 学 生理 解 改 密码 的 算法 ,掌握 编程 实现 实际 问题 
中 的 方法 ,提高 解决 问题 的 能 力 . 

(2) 要 求学 生 掌握 算法 的 程序 实现 的 方法 ,能 应 用 密码 算法 的 特点 ,设计 合 
适 的 交互 界面 ,并 能 正确 实现 应 用 编程 . 

(3) 要 求学 生 掌握 用 规范 的 方法 书写 实验 报告 . 

实验 仪器 设备 /实验 环境 

PC Windows 操作 系统 ,使 用 Java 语言 编程 ,或 者 MATLAB 、Maple 编程 

实验 原理 

(1) 字母 和 数字 对 应 ,计算 结果 取 模 26 的 最 小 非 负 完全 剩余 系 的 数 . 
wi by wm i es $B, Bs i i ms Os Di i Bs th Me We Wh 
0, 1, 2, 3, 4, 5, 6, 7, 8, 9,; 10,11,12,13,14,15,16,17,18,19,20,21,22,23,24, 25 





(2) 加 密 方 法 如 图 A-1 所 示 
密 钥 fox 
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图 A-1 维 吉 尼 亚 密码 加 密 方法 示意 图 
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即 明 文 和 密 钥 对 应 相 加 , 密 钥 取 完 后 又 从 头 开始 . 

实验 内 容 

(1) 通过 一 包含 密 钥 文本 框 和 明文 文本 框 和 按钮 的 界面 接收 明文 ,再 对 明 
文 用 维 吉 尼 亚 方法 加 密 成 密 文 输出 ;实现 维 吉 尼 亚 密码 的 加 密 . 
(2) 通过 一 包含 密 钥 文本 框 和 密 文 文本 框 和 按钮 的 界面 接收 明文 ,再 对 密 
文 用 维 吉 尼 亚 方法 解密 成 明文 输出 ;实现 维 吉 尼 亚 密码 的 解密 . 

实验 步骤 

(1) 设计 输入 输出 界面 ( 见 图 A-2); 
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明文 
输入 密 钥 | | | 加 密 发 送 
图 A-2 交互 界面 


(2) 获取 明文 ;( 有 两 种 方法 : 一 是 文本 框 输入 明文 的 方法 ,二 是 用 文件 的 方法 ) 

(3) 读 取 明文 或 实现 对 文本 框 的 监听 ; 

(4) 算出 密 钥 的 长 度 ; 

(5) 将 获取 的 字符 逐个 转 为 数字 ,用 维 吉 尼 亚 方法 加 密 后 ,再 转换 为 字符 ， 
明文 加 密 成 密 文 ; 

(6) 将 密 文保 存 到 指定 文件 夹 或 在 新 的 文本 框 输出 密 文 ; 

(7) 解密 过 程 也 就 是 将 上 面 反 过 来 的 过 程 . 

实验 注意 事项 

(1) 用 Java 的 同学 可 以 用 上 面 指示 的 方法 ;若是 复制 后 面 所 附 的 程序 来 做 ， 
建议 做 维 吉 尼 亚 密码 系统 的 解密 程序 . 

(2) 不 会 Java 或 MATLAB 的 同学 ,可 以 使 用 Maple, 使 用 文件 的 方法 


附录 A 课程 实验 


A.2 实验 2 RSA 公 钥 密码 的 实现 


实验 目的 

(1) 帮助 学 生 掌握 RSA 公 钥 系统 的 密 钥 生成 ,加密 和 解密 过 程 , 能 够 利用 
所 学 过 的 编程 语言 ,熟悉 RSA 公 钥 加 密 算法 流程 与 编程 实现 加 密 算法 . 掌握 编 
程 实现 实际 问题 中 的 方法 ,提高 解决 问题 的 能 力 . 

(2) 要 求学 生 掌握 算法 的 程序 实现 的 方法 ,能 应 用 密码 算法 的 特点 ,设计 合 
适 的 交互 界面 ,并 能 正确 实现 应 用 编程 . 

(3) 要 求学 生 掌 握 用 规范 的 方法 书写 实验 报告 . 

实验 仪器 设备 /实验 环境 

PC Windows 操作 系统 ,使 用 Java 语言 编程 ,或 者 使 用 数学 软件 MATLAB 、 
Maple 编程 . 

实验 原理 

RSA 公 钥 密码 原理 

任务 : Alice 要 求 Bob 将 信息 m 用 RSA 方法 加 密 传送 回来 . 

(1) 密 钥 生 成 : Alice 找到 大 素数 p,q, 邻 n= 二 pq, 取 e>1 满足 (e.g(n))=1， 
再 找 d 使 得 de 三 1(mody(n)), 然 后 Alice 将 ae 作为 加 密 密 钥 ( 公 钥 ) 发 送 给 
Bob ,这 里 5,q,d ,都 是 私 钥 ,要求 保密 ,用 作 解 密 ; 

(2) 加 密 : Bob 将 明文 mm:<2 加 密 得 到 密 文正 ,三 2 (modn) ,并 将 密 文 EE, 传 
送 给 Alice; 

(3) 解密 ， Alice 收 到 密 文 已 ,, 计算 Es Cm’: ) m™ 7 多 可 针 1 
m(modn) ,恢复 明文 m. 

实验 内 容 














(1) 设计 输入 密 钥 生成 界面 . 

(2) Java 需要 引用 的 包 

import java. io. UnsupportedEncodingException; 
import java. math. BigInteger; 

import java. security. NoSuchAlgorithmException; 
import java. security. SecureRandom. 

(3) 判定 素数 用 BigInteger. probablePrime. 

开始 时 明文 可 不 用 字符 直接 用 数字 . 


A.3 实验 3 ElGamal 公 钥 密码 的 实现 


实验 步骤 

(1) 密 钥 生成 程序 : 利用 Java 的 math. BigInteger 包 , 随 机 生成 大 素数 p,g 
等 ,完成 密 钥 生成 , Alice 将 公 钥 和 私 钥 保 存 到 D:\Alice 文件 夹 的 文件 siyao. 
txt 中 ,并 将 公 钥 保存 到 D: \Bob 文件 夹 的 文件 gongyao. txt 中 . 

(2) 加 密 程 序 : Bob 通过 读 取 文件 gongyao. txt 获得 公 钥 ,从 明文 文本 框 和 
按钮 的 界面 接收 明文 ,或 从 文件 中 读 取 明 文 (这 时 D:\Bob\yw. txt 文件 中 应 包 
含 明文 ) ,将 获取 的 字符 逐个 转 为 数字 ,再 对 明文 加 密 成 密 文 (开始 时 明文 可 不 用 
字符 直接 用 数字 ) ,运算 后 ,再 转换 为 字符 保存 到 D:\ Alice 文件 夹 的 文件 
miwen. txt 中 . 

(3) 解密 程序 : Alice 通过 按钮 的 界面 接收 读 取 文 件 miwen. txt 获得 密 文 ， 
将 密 文通 过 解密 算法 变 为 明文 ,并 在 文本 框 中 输出 ,也 可 保存 到 D:\Alice 文件 
夹 的 文件 jiemiwen. txt 中 . 

实验 注意 事项 

(1) 尽管 Java 带 有 RSA 包 , 但 建议 使 用 上 面 的 算法 来 完成 . 

(2) Java、MATLAB 或 Maple, 都 可 以 使 用 文件 的 方法 实现 ， 

(3) 如 用 MATLAB 编程 ,建议 使 用 MATLAB 2016 或 更 新 的 版 本 ,并且 通 
过 设置 路 径 将 Variable Precision Integers 程序 包 添 加 到 查找 文件 的 搜索 路 径 ， 
这 样 才能 使 用 vpi 类 型 数据 ,和 否则 只 能 用 位 数 较 少 的 整 型 数 实现 . 














A.3 实验 3 ElGamal 公 钥 密码 的 实现 


实验 目的 

(1) 帮助 学 生 掌 握 ElGamal 公 钥 系统 的 密 钥 生 成 .加 密 和 解密 过 程 ,能 够 利 
用 所 学 过 的 编程 语言 ,熟悉 ElGamal 公 钥 加 密 算法 流程 与 编程 实现 加 密 算法 . 
掌握 编程 实现 实际 问题 中 的 方法 ,提高 解决 问题 的 能 力 . 

(2) 要 求学 生 掌握 算法 的 程序 实现 的 方法 ,能 应 用 密码 算法 的 特点 ,设计 合 
适 的 交互 界面 ,并 能 正确 实现 应 用 编程 . 

(3) 要 求学 生 掌 握 用 规范 的 方法 书写 实验 报告 . 

实验 仪器 设备 /实验 环境 

PC Windows 操作 系统 ,使 用 Java 语言 编程 ,或 使 用 MATLAB、 Maple 
编程 . 

ElGamal 公 钥 密码 原理 
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任务 : Alice 要 求 Bob 将 信息 mr 用 ElGamal 方法 加 密 传送 回来 . 

(1) 密 钥 生成 : Alice 找 大 素数 p,p 的 原 根 a 和正 整 数 XA 过 如 ,计算 和 三 
aa (modp) ,Alice 将 p,a,ha 作 为 公 钥 传 给 Bob, 这 里 XA ,是 私 钥 , 留 作 解密 用 ; 

(2) 加 密 : Bob 收 到 后 将 信息 分 段 , 使 得 mx<p, 随 机 取 RE{1,2,…,p 一 1)， 
计算 wu 三 a* (modp) ,v 三 hhAm (modp) ,将 密 文 (u,v) 传 送 给 Alice; 

(3) 解密 : Alice 收 到 (u,v) 后 计算 vw *% 夺 hAm (a*) 三 (a tm(at) Xa 三 
m(modp). 恢复 明文 m, 这 里 一 XX。 实际 计算 时 用 p 一 1 一 Xs 代替 . 

实验 内 容 

实验 原理 已 包含 实验 内 容 ,下面 所 说 的 只 是 实验 内 容 实现 的 难点 和 要 点 : 

(1) 设计 输入 密 钥 生成 界面 . 

(2) Java 需要 引用 的 包 

import java. io. UnsupportedEncodingException; 

import java. math. BigInteger; 

import java. security. NoSuchAlgorithmException; 

import java. security. SecureRandom. 

(3) 判定 素数 用 BigInteger. probablePrime. 

找 任意 大 素数 的 原 根 可 能 是 一 件 困 难 的 事 , 可 以 根据 文献 [19] 推 论 6, 先 找 一 
个 大 素数 gq. 令 光 二 21g 十 1, 当 m==p 是 素数 , 且 整 数 & 满足 a 二 三 一 1(modm) ,这 
里 1<a<p 一 1, 则 a 是 模 p 的 一 个 原 根 . 

实验 步骤 

(1) 密 钥 生成 程序 : 利用 Java 的 math. BigInteger 包 , 随 机 生成 大 素数 p 和 
p 的 原 根 a 等 ,完成 密 钥 生成 ,Alice 将 公 钥 和 私 钥 保 存 到 D:\Alice 文件 夹 的 文 
件 Elsiyao. txt 中 ,并 将 公 钥 保存 到 D:\Bob 文件 夹 的 文件 Elgongyao. txt 中 ; 

(2) 加 密 程序 Bob 通过 读 取 文件 Elgongyao. txt 获得 公 钥 ,从 明文 文本 框 和 
按钮 的 界面 接收 明文 ,或 从 文件 中 读 取 明文 (这 时 D:\Bob\Elyw. txt 文件 中 应 包 
含 明文 ) ,将 获取 的 字符 逐个 转 为 数字 (开始 时 明文 可 不 用 字符 直接 用 数字 ), 再 通 
过 运算 加 密 成 密 文 ,再 保存 到 D: \Alice 文件 夹 的 文件 Elmiwen. txt 中 ; 

(3) 解密 程序 : Alice 通过 按钮 的 界面 接收 读 取 文件 Elmiwen. txt 获得 密 
文 ,将 密 文 通过 解密 算法 变 为 明文 ,并 在 文本 框 中 输出 ,也 可 保存 到 D: \Alice 
文件 夹 的 文件 Eljmwen. txt 中 . 

实验 注意 事项 

(1) 用 Java 或 MATLAB 的 同学 可 以 用 上 面 的 方法 求 素数 和 原 根 ; 
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(2) Maple 可 以 直接 使 用 primroot(p) 求 素数 p 的 原 根 , 使 用 文件 的 方法 


A.4 实验 4 流 密码 密 钥 生成 程序 设计 


实验 目的 

(1) 让 学 生 能 够 利用 所 学 过 的 编程 语言 ,实现 几 种 流 密码 密 钥 生成 程序 设 
计 , 提 高 解决 实际 问题 的 能 力 和 素养 ; 

(2) 要 求学 生 掌握 几 种 流 密码 密 钥 生成 算法 与 程序 实现 的 方法 ,能 设计 合 
适 的 交互 界面 ,并 能 正确 实现 应 用 编程 ; 

(3) 对 产生 的 序列 做 如 周期 和 游程 的 简单 数据 分 析 ; 

(4) 要 求学 生 掌 握 用 规范 的 方法 书写 实验 报告 . 

实验 仪器 设备 /实验 环境 

PC Windows 操作 系统 ,使 用 Java 语言 编程 ,或 MATLAB、Maple 编程 . 

(1) 包括 界面 、 流 密码 密 钥 产生 的 窗口 和 按钮 ; 

(2) 利用 线性 同 余 算 法 X,41 三 aX 十 b(modm) ,二 次 同 余 算 法 X,+i 三 
aX? 十 bX 十 c(modm) ,线性 反馈 移 位 寄存 器 算法 w+i 三 cad 十 caa-l 十 … 十 
ca1, 产 生 流 密码 密 钥 . 

注意 观察 初始 值 与 密 钥 流 的 性 能 的 关系 ,均衡 性 ,周期 .游程 的 数据 规律 . 
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实验 目的 

(1) 让 学 生 能 够 利用 所 学 过 的 编程 语言 ,实现 一 种 散 列 函数 的 应 用 于 序列 
码 设 计 的 方法 ,提高 解决 实际 问题 的 能 力 和 素养 . 

(2) 要 求学 生 掌 握 算 法 的 程序 实现 的 方法 ,能 应 用 密码 算法 的 特点 ,设计 合 
适 的 交互 界面 ,并 能 正确 实现 应 用 编程 . 

(3) 要 求学 生 掌 握 用 规范 的 方法 书写 实验 报告 . 

实验 仪器 设备 /实验 环境 

PC Windows 操作 系统 ,使 用 Java 语言 编程 ,或 使 用 数学 软件 MATLAB、 
Maple 编程 . 
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算法 和 要 求 

1.0 版 

(1) 界面 序列 码 产生 的 窗口 和 按钮 . 

(2) 引入 Java 的 math. Biginteger 包 , 随 机 产生 17 位 十 进 制 数 汉 , 不 足 17 
位 添 0 至 17 位 . 

(3) 利用 最 简单 的 Hash 算法 ,这 里 取 p 为 一 8 位 数 ,r 三 mx mod p, 不 足 8 
位 添 0 至 8 位 . 

(4) 将 余数 放 在 原 数 后 面 变 成 一 25 位 数 ,然后 进行 某 种 置换 . 

(5) 将 置换 后 的 数 按 5 位 一 组 输出 . 

2.0 版 

(6) 进一步 要 求 输出 结果 包含 数字 和 字母 . 可 以 利用 ASCII 码 的 值 转换 . 

(7) 大 致 界面 见 图 A-3. 
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图 A-3 序列 码 生 成 交互 界面 


实验 注意 事项 

(1) 用 Java 或 MATLAB 可 以 写 一 个 序列 码 算法 函数 ,再 做 一 个 界面 ,调用 
算法 函数 ; 

(2) 使 用 Maple 直接 用 数字 ,比较 简单 ,但 建议 使 用 完整 置换 . 





A.6 实验 6 Windows 7 自 带 防火 墙 的 配置 


实验 目的 

了 解 防 火 墙 的 功能 和 设置 选项 ,体验 一 种 防火 墙 的 设置 过 程 . 
实验 仪器 设备 /实验 环境 

PC Windows7 操作 系统 . 

实验 内 容 和 实验 步骤 

(1) 单 击 * 开 始 ” 按 钮 一 控制 面板 , 见 图 A-4. 
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图 A-4 控制 面板 


(2) Windows 防火 墙 , 见 图 A-5. 
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图 A-5 Windows 防火 墙 第 一 个 界面 


(3) 单 击 “打开 或 关闭 防火 墙 ?选项 , 见 图 A-6. 
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图 A-6 Windows 防火 墙 设置 界面 
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在 “公用 网 络 位 置 设 置 ? 下 方 单 击 “ 〇 启用 Windows 防火 墙 ? 选 项 . 

这 人 台 计 算 机 的 IP 地 址 是 192,168. 1. 4, 在 另 一 台 计算 机 上 进入 命令 行 
模式 ,通过 ping 命令 ping 本 机 ,会 出 现 Request timed out. 表示 ping 不 通 本 机 ， 
ty 火 墙 已 经 起 作用 了 . 见 图 A-7 或 图 A-8. 








本 管理 只: C\Windows\system32wmd exe 








图 A-7 检验 防火 墙 的 效果 


| 图 管理 只 : 合 人 提示 符 Ex 一 | 








图 A-8 检验 防火 墙 的 效果 的 中 文 界面 





然后 再 选择 关闭 Windows 防火 墙 , 在 另 一 台 计 算 机 上 进入 命令 行 模式 , 通 
过 ping 命令 再 重 ping 本 机 ,将 结果 记录 ,并 截图 . 
注 : (1) 有 的 同学 在 命令 符 ping 时 出 现 的 是 中 文 界面 ,如 图 A-8. 可 在 “ 管 
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理 员 :命令 提示 符 ” 窗 口中 输入 命令 chcp 437 ,转换 为 英文 ,在 “ 管 
符 ” 窗 口中 输入 命令 chcp 936 ,可 恢复 中 文 . 

(2) Windows 系统 下 本 机 IP 地 址 查询 方法 : 可 以 在 cmd 命令 提示 符 中 输 
入 : ipconfig, 就 可 以 看 到 本 机 IP 地 址 ,如 图 A-9. 


加 管理 ; 命令 提示 符 
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图 A-9 查 本 机 IP 地 址 


附录 B 


实验 参考 程序 


B.1 维 吉 尼 亚 密码 加 密 Java 程序 


// Vigenere. java 

import javax. swing. *; 
import Java. awt. *; 
import java. awt. event. *; 
import java. io. FileWriter; 


import java. io. IOException; 


// 实 现 接口 ActionListener 


public class Vigenere implements ActionListener 


private JFrame jf; 

private JPanel jpanel; 
private JButton jbl; 
private JLabel jlbl,jlb2; 
private J TextField textbox; 
private JTextArea jta; 


private JScrollPane jscrollPane; 

public Vigenere(){ 
j = new JFrame(" 维 吉 尼 亚 加 密 "); 
Container contentPane = jf{. getContentPane(); 


contentPane. setLayout(new BorderLayout()); 


jta = new JTextArea(6, 15); 
//ita. setTabSize(4); 


B.1 维 吉 尼 亚 密码 加 密 Java 程序 


jta. setFont(new Font(" 标 楷体 ", Font. BOLD, 16)); 
jta. setLineWrap(true) ;// 激 活 自 动 换行 功能 

jta. setWrapStyleWord(true) ;/ /激活 断 行 不 断 字 功 能 
//jta. setBackground(Color. pink) ; 


jscrollPane = new JScrollPane(jta); 


jpanel = new JPanel(); 

//ipanel. setLayout(new GridLayout(1, 3)); 

jpanel. setLayout(new FlowLayout()); 

jlbl 二 new JLabel(" 输 入 明文 "); 

textbox 二 new JTextField(20);// 流 式 布局 要 填 数 字 
jlb2 三 new JLabel(" 输 入 密 钥 "); 

jbl 三 new JButton(" 加 密 发 送 "); 

jbl. addActionListener(this);// 监 听 


jpanel. add (jlb2) ; 
jpanel. add (textbox) ; 
jpanel. add(jbl) ; 


contentPane. add(jlbl, BorderLayout. NORTH); 
contentPane, add(jscrollPane, BorderLayout. CENTER); 
contentPane. add(jpanel, BorderLayout. SOUTH) ; 


jf{. setSize(400, 280); 
jf. setLocation(400, 200); 


jf. setVisible(true) ; 


jf.addWindowListener(new WindowAdapter(){ 
public void windowClosing( WindowEvent e){ 


System. exit(0); 


BE 
} 
// 覆盖 接口 ActionListener 的 方法 actionPerformed 


public void actionPerformed(ActionEvent e)! 
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if(e. getSource()= = jb1){ 
String tmp = vigenerel (textbox. getText() ,jta. getText()); 
int a = write(tmp); 
if(a==1) 
jlbl, setText(" 加 密 发 送 成 功 !"); 
else 


jlbl. setText(" 加 密 发 送 失败 !"); 


} 
//Vigenere 加 密 程序 
static String vigenerel(String key, String plaintext){ 
String ciphertext = ""; 
for(int i=0;i<plaintext. length();i 十 十 ){ 
// 获 取 密 钥 字 的 ASCII 码 
int k 一 ((int)key. charAt(i% key. length())) 一 97; 
int p =((int)plaintext. charAt(i) ) 一 97; 
char tmp = (char)(((k+p)%26)++ 97); 
ciphertext 十 三 tmp; 
} 
return ciphertext; 
: 
// 写 人 文件 
public static int write(CString tmp){ 
try { 
FileWriter fw = newFileWriter("D: /mw. txt"); 
fw. write(tmp); 
fw. close(); 
return 1; 
} catch(IOException e){ 
e. printStack Trace(); 


} 


return 0; 


public static void main(String[ ] args){ 


new Vigenere(); 
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% 维 吉 尼 亚 密 码 加 密 程序 Vigenere. m 
function varargout = Vigenere(varargin) 
if nargin 一 一 0 
FigureHandle = figure('visible','off") ; 
GenerateFigureContent(FigureHandle) ; 
movegui( FigureHandle ,center) ; 
set(FigureHandle,'visible','on") ; 
if nargout 二 0 
varargout{1} = FigureHandle; 
end 
elseif ischar( varargin{1)) 
try 
[varargout{1: nargout}] = feval(varargin{ : }); 
catch 
disp(lasterr); 
end 
end 
function GenerateFigureContent(FigureHandle)% 产 生 界 面 ,定义 控件 及 其 位 置 
TabSpace =10;% define the code for number from 1 to 10. 
TextNumber =6;PushbuttonNumber = 2; 
FigureXPos 一 200; %init the parameter of the position of figure. 
FigureYPos =100; 
FigureWidth = 600; 
FigureHeight = 400; 
FigurePosition = [FigureXPos,FigureYPos,FigureWidth, FigureHeight ]; 
FigureColor = [0.6 0.9 0.9];%init the value of the color Property of figure 
PushbuttonWidth =120; 
PushbuttonHeight = 34; 
PushbuttonXPos = 3* TabSpace +135; 
PushbuttonYPos = FigureHeight— 380; 
PushbuttonPosition= ... 
[PushbuttonXPos PushbuttonYPos PushbuttonWidth PushbuttonHeight]; 
PushbuttonString = { 加 密 ',' 人 退出) ; 
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PushbuttonCallback= ... 


{feval("Vigenere","VigenereRun" ,gcf)', ‘feval("Vigenere","CloseFun" ,gcf)' }; 
TextHeight = 30;%init the parameter of the position of text. 

TextXPos = 3* TabSpace; 

TextYPos = FigureHeight 一 5 一 2* TabSpace — TextHeight; 

TextWidth = FigureWidth 一 TextXPos 一 3* TabSpace; 

TextPosition = [TextXPos TextYPos TextWidth TextHeight]; 

TextString = { 输 入 密 钥 : ，" ,和 输入 明文 : ，", 答 出 密 文 : ，"}; 

TextStyle = (‘text','edit', text','edit', text', 'edit'} ; 

TextTabSpace= (TextYPos 一 30 一 TextHeight * (TextNumber 一 1) 一 4 * TabSpace)/ 
(TextNumber 一 1); 


set(FigureHandle,'toolbar', none',. . . 





mumbertitle' 'off',. .. 
'position', FigurePosition,. .. 
"MenuBar', none'",. .. 
Resize', ‘off',. .. 
‘windowstyle', modal',... 
‘color', FigureColor,... 
mame','Vigenere 加 密 程序 ,. . . 
wisible' off) ; 
PushbuttonHandle 一 zeros(1,PushbuttonNumber); 
for num = 1: PushbuttonNumber 
TempPushbuttonPosition = PushbuttonPosition; 
TempPushbuttonPosition(1)= TempPushbuttonPosition(1)... 
十 Cnum 一 1) * (PushbuttonWidth 十 TabSpace); 
PushbuttonHandle(num)= uicontrol(. . . 
parent', FigureHandle,... 
string', PushbuttonString{ num} ,.. . 
'style', 'pushbutton', {ontsize', 12,... 
'backgroundcolor',[. 8 .8 .9]','fontname", 宁 体 ',... 
‘callback', PushbuttonCallback {num)} ,. .. 
‘position', TempPushbuttonPosition) ; 
end 
TextHandle =zeros(1,TextNumber); creat the varage TextHandle 
EditColor = [.9 .9 .9]; 


TextColor= .。。 
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[FigureColor; EditColor; FigureColor; EditColor; FigureColor; EditColor ]; 
for num = 1: TextNumber 
TempTextPosition = TextPosition; 
TempTextPosition(4)= TempTextPosition(4) 十 10 十 30 * modCnum 一 1,2); 
TempTextPosition(2)= ... 
TempTextPosition(2) 一 (num 一 1) * (TextTabSpace 十 TextHeight) ; 
TextHandle(num)= uicontrol('parent', FigureHandle,... 
'string', TextString {num)} ,... 
'Horizontal Alignment', eft', fontsize', 12,... 
'style', TextStyle{num) ,'fontname', 宁 体 ',... 
backgroundcolor', TextColor(num,: ),... 
‘position', TempTextPosition) ; 
end 
set(TextHandle( TextNumber) ,'enable', 'off','tag','TextHandle’) ; 
RunPushbuttonXPos = FigureWidth 一 30 十 1* TabSpace 一 PushbuttonWidth; 
RunPushbuttonYPos 王 TempTextPosition(2) 十 TabSpace 一 8; 
RunPushbuttonWidth = PushbuttonWidth 一 3* TabSpace 十 30; 
RunPushbutton Height = 30; 
RunPushbuttonPosition = [RunPushbuttonXPos RunPushbuttonYPos ... 
RunPushbuttonWidthRunPushbuttonHeight ]; 
setappdata( FigureHandle,'PushbuttonHandle', Pushbutton Handle) ; 
setappdata( FigureHandle,'TextHandle', TextHandle) ; 
EnableTap =2; 
EnablePushbuttonPosition = get(PushbuttonHandle(1) ,'position’) ; 
EnablePushbuttonPosition(4)= EnablePushbuttonPosition(4)+ EnableTap; 
AvildColor = get(PushbuttonHandle(1),'backgroundcolor’) ; 
for num = 1: TextNumber 
set(TextHandle(num) ,string',TextStringCnumy) ) 
end 
function CloseFun(FigureHandle) 
close; % 退 出 
function ConfCode 王 PlainCode2ConfCodeFun(Key,PlainCode) % Vigenere 加 密 算法 
KeyLen =length(Key); 
PlainCodeLen 一 length(PlainCode) ; 
KeyMat = [repmat (Key, 1. floor (PlainCodeLen/KeyLen)), Key (1: mod (PlainCodeLen， 
KeyLen)) |]; 
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ConfCode =char(mod((PlainCode 十 KeyMat 一 2 ¥* 'a'),26) 十 'a");%PlainCode 为 明文 ， 
ConfCode 为 密 文 , 没 有 处 理 空格 和 大 小 写 . 
function VigenereRun(FigureHandle) % this is a function for calculate that. . . 
PushbuttonHandle = getappdata(FigureHandle,'Pushbutton Handle’) ; 
TextHandle = getappdata( FigureHandle,'TextHandle’) ; 
Stringl =get(TextHandle(2),'string') ; 
String2 一 get(TextHandle(4) ,string); 
Stringl =char(Stringl); 
String2 一 char(String2); 
StringlIndx 一 find(CStringl == 32); 
String2Indx 一 find(String2 三 = 32); 
Stringl(StringlIndx) = []; 
String2(String2Indx) = []; 
if isempty(String1) 

feval('Vigenere','ErrorFun',' 请 输入 密 钥 ! ', 噶 常 提示 7 
elseif isempty(String2) 

feval('Vigenere','ErrorFun',' 请 输入 明文 ! ) 
else 

String3 = feval('Vigenere','PlainCode2Con{CodeFun', String], String2) ; 
set(TextHandle(6) ,'string', String3 ,'enable’, 'on',. .. 

Yoregroundcolor',[0.8 0. 2 0.2]); 


end 
function varargout 二 ErrorFun(varargin) % 异 常 处 理 函数 ”提示 窗口 
if nargin = 2 
title 三 蜡 常 提示 '; 
if nargin = 1 
message 二 品 作 异常 '; 
else 
message = varargin{1}; 
end 
else 


message 一 varargin{1}; 

title = varargin{2); 
end 
FigureColor =[ 0. 6333 0. 8333 0.8333 ]; 
TabSpace =10; 
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ErrorFigureWidth =320; 
ErrorFigureHeight =100; 
ErrorFigureHandle = figure('Units' , pixels',... 
Position'，[0 0 ErrorFigureWidth ErrorFigureHeight], ... 
"Name', title, Tag', ‘ErrorFigure', ... 
Resize', ‘off', ‘windowstyle','modal',. .. 
mumbertitle','off', MenuBar', none',. . . 
color,FigureColor, Visible'，off) ; 
MessageXPos = 2 * TabSpace; 
MessageYPos = 2* TabSpace; 
MessageWidth =200; 
MessageHeight= ErrorFigureHeight 一 2* MessageYPos; 
MessagePosition = [MessageXPos MessageYPos MessageWidth MessageHeight]; 
MessageTextHandle =uicontrol(... 
‘parent' , ErrorFigureHandle,... 
'style', text', 'string', message,. .. 
'Horizontal Alignment', eft',. .. 
Yontsize', 11, .. 
Yontname', 宋体 . . 
"backgroundcolor',FigureColor,. . . 
"Position', MessagePosition) ; 
PushbuttonXPos = MessageXPos 十 MessageWidth 十 TabSpace; 
PushbuttonYPos = MessageYPos 十 2; 
PushbuttonWidth = ErrorFigureWidth 一 TabSpace 一 PushbuttonXPos; 
PushbuttonHeight = MessageHeight 一 4 一 20; 
PushbuttonPosition= ., . 
[PushbuttonXPos,PushbuttonYPos,PushbuttonWidth,PushbuttonHeight]; 
PushbuttonHandle = uicontrol('parent', ErrorFigureHandle,'style', 'pushbutton', ... 
'string" 闫 闭 提示 ','HorizontalAlignment','center', 'fontsize',11,'fontname',. . . 
宁 体 ','position', PushbuttonPosition, 'callback','close”) ; 
movegui( ErrorFigureHandle,'center’) ; 


set(ErrorFigureHandle ,visible','on’) ; 
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//Rsamiyao. java 


import javax. swing. *; 
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import java. awt. * ; 
import java. awt. event. *; 
import java. math. BigJnteger; 
import java. security. SecureRandom:; 
// 实 现 接 口 ActionListener 新 版 extends JFrame 可 省 略 
public class Rsamiyao extends JFrame implements ActionListener { 
private JFrame jf; // 定 义 变量 
private JPanel jpanel; 
private JButton jbl; 
private JLabel jlbl, jlbl2; 
private JTextArea jta = null; 
private Container contentPane; 
private Rsamiyao(){ ”// 构 造 方法 
jf{ = new JFrame("RSA"); 
contentPane = jf. getContentPane( ); 


contentPane. setLayout(new BorderLayout()); 


jta 三 new JTextArea(" 目 前 暂 无 密 钥 ,请 点 击 按钮 生成 密 钥 1"); 
jta. setLineWrap(true);// 自 动 换行 

jta. setEditable(false) ;// 模 仿 JLabel 禁止 编辑 文字 

jta. setBackground(new Color(238,238,238)); 

jpanel = new JPanel(); 

jbl 三 new JButton(" 生 成 密 钥 "); 

jbl. addActionListener(this) ;// 监 听 

jpanel. add(jbl , BorderLayout. CENTER); 


contentPane. add(jta, BorderLayout. NORTH); 
contentPane. add(jpanel, BorderLayout. SOUTH); 


jf. setSize(400, 280); // 文 本 框 原始 大 小 
jf. setLocation(400, 200); 
jf. setVisible(true) ; 


jbl. setBounds(300,200,10,20); 
setVisible(true) ; 
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jf. addWindowListener(new WindowAdapter(){ 
public void windowClosing( WindowEvent e){ 


System. exit(0); 


) 3 
} 
// 覆 盖 接 口 ActionListener 的 方法 actionPerformed 
public void actionPerformed(ActionEvent e) 
{ 
contentPane. remove(jpanel); 
String key[] = Rsa. Rsakey(300); 
Write. Write(key[0] 十 "\n"，"D: \\Bob\\gongyao. txt"); 
Write. Write(key[1] 十 "\n"，"D: \\Bob\\gongyao. txt"); 
Write. Write(key[0] 十 "\n"，"D: \\Alice\\siyao. txt"); 
Write. Write(key[1] 十 "\n"，"D: \\Alice\\siyao. txt"); 
Write. Write(key[2] 十 "\n"，"D: \\Alice\\siyao. txt"); 
Write. Write(key[3] 十 "\n"，"D: \\Alice\\siyao. txt"); 
Write. Write(key[4] 十 "\n"，"D: \\Alice\\siyao. txt"); 
Write. Write(key[5] 十 "\n"，"D: \\Alice\\siyao. txt"); 
jf. setSize(1000, 600); 
jta, setText(" 公 钥 e,n 已 存 和 人 D: \\Bob\\gongyao. txt \r\n\r\n"); 
jta. append("e: "十 key[0] 十 "\rNnNrNn n: "+key[1]+"\r\n\r\n"); 
jta. append(" 公 钥 en 私 钥 d,p,q,fn 已 存 人 D: \\Alice\\siyao. txt \r\n\r\n"); 
jta. append("e: "十 key[0] 十 " \r\n\r\n n: "十 key[1] 十 " \r\n\r\n" 
HF- "d: "十 key[2] 十 " \r\n\r\n p: "十 key[3] 十 " \r\n\r\n" 
十 "q: "十 key[4] 十 " \r\n\r\n fn: "十 key[5]); 














} 
static class Rsa { 

static String[ ] Rsakey(int length){ 
Stringkey[ ] = new String[6]; 
// 通 过 需要 的 密 钥 长 度 求 得 pq 的 长 度 
int tmp = length / 2; 
int length_p = 0, length q = 0; 
if(tmp % 2 == 0){ 

length p= tmp 一 1; 
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length q = tmp 十 1; 
} else { 

length_p = tmp; 

length q = tmp 十 2; 
} 
length_p /= 0.3; 
length_q /= 0.3; 
// 获 取 一 个 随机 数 
SecureRandom random = newSecureRandom(); 
// 通 过 随机 函数 和 长 度 获取 一 个 随机 数 
// 求 exd==1 mod fn 
BigJInteger p = BigInteger. probablePrime(length_p, random); 
BigJInteger q = BigInteger. probablePrime(length_q, random); 
BigInteger n =p. multiply(q); 
BigInteger fn = (p. subtract( BigInteger. ONE) ). 

multiply(q. subtract( BigInteger. ONE)) ; 

Biglnteger e = newBigInteger(fn. bitLength()— 3, 1, random); 
BigInteger d 二 e. modInverse(fn);// 通 过 道 求 余 的 方式 求 出 d 
e. toString(); 
key[0] = e. toString(); 
key[1] = n. toString(); 
key[2] = d.toString(); 
key[3] = p. toString(); 
key[4] = q. toString(); 
key[5] = fn. toString()， 


return key; 


public static void main(String[ | args) { 


new Rsamiyao(); 


//Wirite. java 
import java. io. File; 


import java. io. FileW riter; 
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import java. io. IOException; 


public class Write { 
public static int Write(String tmp，String address){ 

try { 
File file = newFile(address) ; 
if(! file. getParentFile(). exists()) 

file. getParentFile(). mkdirs(); 

FileWriter fw = newFileWriter(address, true); 
fw. writeCtmp); 
fw. close(); 
return 1; 

} catch(I1OException e){ 
e. printStack Trace( ); 


return 0; 
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//Jiami. java 
import java. awt, *; 
import java. awt. event. *; 
import java. math. BigInteger; 


import javax. swing. #x 


// 实 现 接口 ActionListener 


public class Jiami implements ActionListener { 


JFrame jf; 

JPanel jpanel; 

JButton jbl; 

JLabel messageLabel. messageLabel2; 
JTextField textbox; 


JTextArea jta = null; 
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JScrollPane jscrollPane; 
public Jiami(){ 


jf 二 new JFrame("RSA 加 密 "); 
Container contentPane =jf. getContentPane(); 


contentPane. setLayout(new BorderLayout()); 


jta = new JTextArea(10, 15); 

jta. setTabSize(4); 

jta. setLineWrap(true) ;// 激 活 自动 换行 功能 

jta. setWrapStyleWord(true) ;/ /激活 断 行 不 断 字 功 能 


jscrollPane = new JScrollPane(jta) ; 
jpanel = new JPanel(); 


jpanel. setLayout(new FlowLayout()); 
messageLabel 二 new JjLabel(" 请 输入 明文 数字 "); 


jbl = new JButton(" 加 密 "); 
jbl. addActionListener(this) ; 


jpanel. add(jbl)， 


contentPane. add(messageLabel, BorderLayout. NORTH); 
contentPane. add(jscrollPane, BorderLayout. CENTER); 
contentPane. add(jpanel, BorderLayout. SOUTH):; 


jf. setSize(400, 300); 
jf. setLocation(400, 200); 


jf. setVisible(true) ; 


jf. addWindowListener(new WindowAdapter(){ 
public void windowClosing( WindowEvent e){ 


System. exit(0); 
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// 覆 盖 接 口 ActionListener 的 方法 actionPerformed 
public void actionPerformed( ActionEvent e){ 
if(e. getSource()= = jbl){ 
String[ ] a = Read. Readline("D: \\Bob\\gongyao. txt"); 
BiglInteger pe = new BigInteger(Ca[0]); 
BigInteger pn = new BigInteger(a[ 1]); 
BiglInteger pm = new BigJInteger(jta. getText()); 
BigInteger tmp = rsajiami(pm, pe, pn); 
int as = Write. Write(tmp. toString() 十 "\n"，"D: \\Alice\\miwen. txt"); 
if(as == 1){ 
jta. append("\r\n"); 
jta. append(" 加 密 成 功 111"); 
jta. append("\r\n"); 
jta. append(" 密 文 : "); 
jta. append(Ctmp 十 ""); 


jta. setText(" 加 密 失 败 11!4"); 


static BigInteger rsajiami(BigJInteger tmp. BiglInteger e, BigInteger n){ 
BigInteger ¢ = tmp. modPow(e, n); 


return cy 


public static void main(String[ ] args) { 


new Jiami(); 


//Read. java 
import java. io. *; 
public class Read ( 
public static String[ ] Readline( String file) { 
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try { 
FileReader fr = newFileReader(file); 
BufferedReader br = newBufferedReader(fr) ; 
Stringtmp[] = new String[ 100]; 
Stringstr; 
int i=0; 
while( (str = br. readLine())! = nulD)! 
tmp[i] = str; 
ty 


\ 
/ 


br. close(); 

fr. close(); 

return tmp; 
}catch(IOException e){ 

e. printStack Trace( ); 
} 


return null; 
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//Jiemi. java 
import java. awt. xs 
import java. awt. event. *; 
import java. math. BigInteger; 


import javax. swing. *; 


// 实 现 接口 ActionListener 


public class Jiemi implements ActionListener { 


JFrame jf; 

JPanel jpanel; 

JButton jbl .jb2; 

JLabel messageLabel. messageLabel2; 
JTextField textbox; 
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JTextArea jta = null; 


JScrollPane jscrollPane; 
public JiemiO){ 


jf 二 new JFrame("RSA 解密 "); 
Container contentPane =jf. getContentPane(); 


contentPane. setLayout(new BorderLayout()); 


jta = new JTextArea(10, 15); 

jta. setTabSize(4); 

jta. setLineWrap(true) ;// 激 活 自动 换行 功能 

jta. setWrapStyleWord(true) ;// 激 活 断 行 不 断 字 功能 


jscrollPane = new JScrollPane(jta) ; 
jpanel = new JPanel(); 

jpanel. setLayout(new FlowLayout()); 
jbl = new JButton(" 读 取 密 文 "); 
jbl. addActionListener(Cthis) ; 

jb2 二 new JButton(" 解 密 "); 

jb2. addActionListener(Cthis) ; 


jpanel. add(jbl)， 
jpanel. add(jb2); 
messageLabel 二 new JLabel(" 请 选择 操作 "); 


contentPane. add(messageLabel, BorderLayout. NORTH); 
contentPane. add(jscrollPane, BorderLayout. CENTER) ; 
contentPane. add(jpanel, BorderLayout. SOUTH):; 


jf. setSize(400, 300); 
jf. setLocation(400, 200); 


jf. setVisible(true); 


jf. addWindowListener(new WindowAdapter(){ 


public void windowClosing(WindowEvent e){ 
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System. exit(0); 


// 覆 盖 接 口 ActionListener 的 方法 actionPerformed 
public void actionPerformed(ActionEvent e){ 
if(e. getSource()== jb1){ 
Stringtmp[] = Read. Readline("D: \\Alice\\miwen. txt"); 
//jta. append(" 这 是 密 文 "); 
jta. append (tmp[01]); 
)else if(e. getSource()= = jb2){ 
String[ ] a = Read. Readline("D: \\Alice\\siyao. txt"); 
BigInteger pd = new BigInteger(a[2]); 
BigInteger pn = new BiglInteger(a[ 1]); 
BigInteger pm = newBigInteger(jta. getText()); 
BigInteger tmp =rsajiemi(pm, pd, pn); 
Write. Write(tmp. toStringO) +"\n", "D: \\Alice\\jiemiwen. txt"); 
jta. append("\r\n"); 
jta. append(" 这 是 明文 "); 
jta. append("\r\n"); 
jta. append( tmp. toString()); 


static BigInteger rsajiemi(BigJInteger tmp. Biglnteger d, BiglInteger n){ 
BigInteger ¢ =tmp. modPow(d, n); 


return cy 


public static void main(String[] args){ 


new Jiemi(); 
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% RsaMiyao. m 运行 该 程序 MATLAB 中 必须 包含 VariablePrecisionIntegers 程序 包 ,并 
% 过 设置 路 径 将 该 文件 夹 添 加 到 查找 文件 的 搜索 路 径 


tics 


t 


日 通 





numl=vpi(10)°51; 
num2=vpi(10)°53; 
b= 二 randint(num2);% 产 生 小 于 num2 的 随机 数 
if b=<numl 
b 王 numl 十 b; 
end 
if boolean(mod(b,2)==0) 
b=b+1; 
end 
while boolean(isprime(b)= =false) 
b=b+2; 





end 

p=b 
numl]=vpi(10)°51; 
num2=vpi(10)°49; 
num3=vpi(10)°25; 
c=randint(num2); 
if c<numl 

c 一 numl 十 cy 
end 
if boolean(mod(c,2)==0) 
B= 
end 
while isprime(c) 一 一 false 
c 一 c 十 2; 
end 
q 一 c 
n=p*q 
t=(p—1) * (g—1) 


i=randint(num3); 
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while boolean(gcd(t,)>1) 

i=i+1; 

end 

a=i 

d=minv(a,t) 

n 一 vpi2mat(n) %% 调 用 自 定义 函数 vpi2mat 


a 





pi2mat(a) 
if ~isdir('D: \Alice) 
mkdir('D: \Alice) 
end 
if ~isdir('D: \Bob’) 
mkdir('D: \Bob’) 
end 
fid= fopen('D: \Alice\gya. txt','wt") ; 
fprint{(fid,'% s\n',n,a); 
fclose(fid); 
p=vpi2mat(p) 
d=vpi2mat(q) 
一 vpi2mat(t) 
d 一 vpi2mat(d) 
fid= fopen('D: \Alice\sya. txt','wt') ; 
fprint{(fid,'% s\n',d,t, p,q); 
fclose(fid); 
copyfile('D: \Alice\gya. txt','D: \Bob\gya. txt) 


toc; 


% vpi2mat. m 和 上 面 程序 放 同 一 文件 夹 
function targetstring= vpi2mat(n) 
n=num2str(n); 

stringmat 一 reshape(n',1,.[]); 
targetstring= strtrim( stringmat) ; 


end 
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% jiami. m 该 文件 夹 中 应 包含 vpi2mat. m 和 mat2vpi. m 
% 假 定 文件 夹 D:\Bob 中 包含 有 明文 文件 mw. txt 
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id=fopen('D: \Bob\gya. txt', Tt) ; 
n=mat2vpi(f{gets(fid)) 

a= mat2vpi(fgets(fid)) 

ose(fid); 

id= fopen('D: \Bob\yw. txt", rt) ; 


和 “ 


m= mat2vpi(f{gets(fid)) 
osel fid) ; 


s=vpi2mat(powermod(m.,a,n)) 


S 


fid= fopen('D: \Alice\mw. txt', wt) ; 
print{(fid,'% s\n',s); 
close(fid); 








% mat2vpi. m 格式 转换 函数 ,和 上 面 文件 放 同 一 文件 夹 
function targetstring= vpi2mat(n) 

n=num2str(n); 

stringmat 一 reshape(n',1,[]); 

targetstring 一 Strtrim(stringmat) ; 


end 
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%jiemi, m 该 文件 夹 中 应 包含 vpi2mat. m 和 mat2vpi. m 
id 一 fopen(CD:\AliceN\gya. txt', rt) ; 

n 一 mat2vpi(Cfgets(fid)) 

fclose(fid)， 

id= fopen('D: \Alice\sya. txt", rt") ; 

d= mat2vpi( {gets(fid)) 

fclose(fid); 

id= fopen('D: \Alice\mw. txt', rt) ; 
s=mat2vpi({gets(fid)) 

close(fid); 
w=vpi2mat(powermod(s,d.n)) 
=fopen('D: \AliceVjiemiwen. txt','wt") ; 
print{(fid,'% s\n', w); 


osel fid) ; 








[a 
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B.9 RSA 公 钥 密 钥 生成 Maple 程序 


二 withCnumtheory) : 


u: =10°51: 
v: =10°61:; 
v1: 王 1058: 


myproc: =rand(u..v): 
b: 一 myproc() : 

p: 一 nextprime(b); 
myproc: 一 rand(u..vl): 
c: 一 myproc() : 

dq: 一 nextprime(c); 

if p=>q then 

ns pa 

tw = —D* ry 
aproc: =rand(3..10°25): 
i: =aproc(): 


while gcd(t,)>1 do 


i: 一 i 计 1: 
od: 
Wy = 


psi: 一 msolve(ax x—1=0,t); 

d: =subs(psi, x); 

save n,a,"D: \\RSA\\alice\\gya. txt"; 
save n,a,"D: \\RSA\\bob\\gya. txt"; 
save d,ty,p,q,"D: \\RSA\\alice\\sya. txt"; 
else 

print("Run This Program Again,Please"); 
fi: 


B. 10 RSA 公 钥 加 密 Maple 程序 


withCnumtheory) : 


read"D: \\bob\\yw. txt"; 
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read"D: \\bob\\gya. txt"; 
s: 一 mg&a mod n; 
save sy"d: \\alice\\mw. txt"; 


这 里 假定 明文 在 yw. txt 文件 中 
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withCnumtheory) : 

read"D: \\alice\\mw. txt"; 
read"D: \\alice\\gya. txt"; 
read"D: \\alice\\sya. txt"; 
w: =power(s,d)mod n; 


save wy"d: \\alice\\jiemiwen. txt"; 


B.12 ElGamal 公 钥 密 钥 生成 Maple 程序 


withCnumtheory) : 

us: =10°51; 

v: 三 10°61: 

myproc: =rand(u..v): 

b: =myproc(): 

p: =nextprime(b); 

a: =primroot(p); 

aproc: 一 rand(2..p 一 2) : 

XA: 一 aproc()， 

hA: =power(a, XA)mod p; 

save pyayhA,"D: \\alice\\gya. txt"; 
save pyayhA,"D: \\bob\\gya. txt"; 
save XA,"D: \\alice\\sya. txt"; 
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with(numtheory) : 
read"D: \\bob\\yw. txt"; 
read"D: \\bob\\gya. txt"; 
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aproc: =rand(2..p—2): 
k: =aproc(): 

u: 一 a&-k mod p; 

v1: =hA®.k mod p: 

Vv: =vl*m mod p; 


save usv,"d: \\alice\\mw. txt"; 
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withCnumtheory) : 

read"D: \\alice\\mw. txt"; 
read"D: \\alice\\gya. txt"; 
read"D: \\alice\\sya. txt"; 

wl: =u &-(p 一 XA 一 1)mod p: 
w: =v* wl mod p; 


save wy"d: \\alice\\jiemiwen. txt"; 
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% ElMiyao. m 
tics 
numl=vpi(10)°30; 
num2=vpi(10)°32; 
b= 二 randint(num2);% 产 生 小 于 num2 的 随机 数 
if b=<numl 
b=numl 二 b; 
end 
if mod(b,2)== 
b=b+1; 
end 
while ~isprime(b) 
b=b+2; 
end 
q=b; 
m 一 2*q 十 1; 


while ~isprime(m) 


可 一 (mm 一 #2 十 1 


end 
p=m; 
flag=0; 


while flag= =0 
num3=vpi(10)°9; 
a 二 randint(num3);% 原 根 primroot(p) 
r=powermod(a,(p—1)/2,p); 


if r==p—1 
flag=1; 
break 
end 

end 


num4 一 p 一 3; 
XA=randint(num4) 
hA=powermod(a, XA,p) 
p 王 vpi2mat(p)%% 调 用 自 定义 函数 vpi2mat 
a 一 vpi2mat(a) 
XA=vpi2mat(XA); 
hA=vpi2mat(hA); 
if ~isdir('D: \Alice) 

mkdir('D: \Alice) 
end 
if ~isdir('D: \Bob) 

mkdir('D: \Bob’) 
end 
fid= {open('D: \Alice\Elgya. txt','wt) ; 
fprint{(fid,'% s\n',p,a,hA); 
{close(fid); 
fid= fopen('D: \Alice\Elsya. txt','wt") ; 
fprint{(fid.'% s\n', XA); 
fclose(fid); 
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copyfileCD: \Alice\Elgya. txt', D: \Bob\Elgya. txt) 


toc; 
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B.16 ElGamal 公 钥 加 密 MATLAB 程序 


% Eljiami. m 

fid= fopen('D: \Bob\Elgya. txt', rt) ; 
p=mat2vpi(f{gets(f{id)) 

a 一 mat2vpi(Cfgets(Cfid)) 

hA 王 mat2vpi(Cfgets(fid) ) 

fclose(fid); 

fid= fopen('D: \Bob\Elyw. txt', rt") ; 
m= mat2vpi({gets(fid)) 

fclose(fid); 

k=randint(p—2) 
u=vpi2mat(powermod(a,k,p)) 
v=vpi2mat(mod(powermod(hA,k,p) * m,p)) 
fid= fopen('D: \Alice\Elmw. txt','wt") ; 
fprint{(fid,'% s\n', u,v); 


{close({fid); 


B.17 ElIGamal 公 钥 解密 MATLAB 程序 


% Eljiemi. m 

fid= fopen('D: \Alice\Elgya. txt', rt) ; 
p=mat2vpi( {gets(fid)) 

a 一 mat2vpi(fgets(fid)) 

hA 王 mat2vpi(fgets(fid) ) 

close(fid); 

一 fopen(D:\Alice\Elsya. txt', rt) ; 
XA 王 mat2vpi(Cfgets(fid)) 

ose(fid); 

一 fopen(CD:\Alice\Elmw. txt", rt) ; 


5 


u=mat2vpi(fgets(fid)) 
v=mat2vpi(fgets(fid)) 
osel fid) ; 








[sy 


w=vpi2mat(mod(powermod(u,p— XA—1.p)*v.p)) 
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fid= {fopen('D: \Alice\Eljmwen. txt','wt) ; 
fprint{(fid,'% s\n', w); 
fclose(Cfid); 


B.18 序列 码 生 成 Java 程序 


// 界 面 和 主 程序 Xlm15. java 
import java. awt. GridLayout; 
import java. awt. event. ActionEvent; 
import java. awt. event. ActionListener; 
import java. math. BigJnteger; 
import java. util. Vector; 
import javax. swing. JButton; 
import javax. swing. JFrame; 
import javax. swing. JLabel; 
import javax. swing. JPanel; 
import javax. swing. J TextField; 
public class XIm15 extends JFrame implements ActionListener{ 
public static void main(String[ ] args){ 
// TODO Auto 一 generated method stub 
JFrame frame=new Xlm15(); 
{frame. setVisible( true); 
} 
JButton bnLogin; 
JPanel jp; 
JLabel jl; 
JTextField jtfl ,jtf2 ,jtf3 ,jtf4 ,jtf5; 
public Xlml15(){ 
// 布 局 声明 
setLayout(new GridLayout(2.1.4.4)); 
jp= new JPanel()， 
jl 三 new JLabel(" 序 列 码 "); 
jtfl 王 new JTextField(4); 
jt{2= new JTextField(4); 
jtf3 一 new JTextField(4); 
jtf4=new JTextField(4); 
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jt{5= newJ TextField(4); 
jp.add(jD ; 
jp.add(jtfl); 

jp. add (jtf2); 
jp.add(jtf3); 

jp. add(jtf4); 

jp. add(jtf5); 


bnLogin 二 new JButton(" 生 成 序列 码 "); 
bnLogin. addActionListener( this) ; 
this. add (jp); 
this. add(bnLogin); 
setLocationRelativeTo(null); 
this. setDefaultCloseOperation(JFrame. EXIT_ON_CLOSE); 
this. pack(); 
} 
@Override 
public void actionPerformed( ActionEvent e){ 
// TODO Auto 一 generated method stub 
if(e. getSource(). equals( bnLogin)) 
{ 
// 得 到 随机 生成 的 序列 码 
String val= rules. getStringRandom(); 
//System. out. println(val) ; 
// 得 到 序列 码 中 字母 字符 换 成 其 ASCII 码 值 后 的 数字 串 (string 类 型 ) 
Vector vector 一 new Vector(); 
vector= rules, checkandchange(val) ; 
String ss= (String)vector. get(0); 
// 求 余 
BigInteger n= new BiglInteger(ss); 
String yushu=n. remainder(new BigInteger("99973"))+""; 
// 再 得 到 转化 为 全 大 写 的 序列 码 
String sss= (String)vector. get(1); 
// 为 方便 对 string 的 指定 位 置 字 符 进行 替换 ,将 sss,yushu 转 为 StringBuilder 
// 再 按照 约定 的 规则 进行 序列 码 的 某 些 字符 的 交换 


String result= rules. SwapLocation(new StringBuilder(sss) ,new StringBuilder 
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(yushu)); 

// 将 结果 在 五 个 框 内 输出 ; 

jtfl. setText(result. substring(0,5)); 
jtf2. setText(result. substring(5,10)); 
jtf3. setText(result. substring(10,15)); 
jtf4. setText(result. substring(15 ,20)); 
jtf5. setText(result. substring(20)); 


} 
// 控 制 判断 程序 rules. java 
import java. util. Random; 
import java. util. Vector; 
import javax. swing. JTextField; 
@SuppressWarnings("unchecked") 
public class rules 
{ 
// 生 成 随机 数字 和 字母 ， 
public static String getStringRandom() 
{ 
String val=""; 
Random random 王 new Random(); 
int length= 20; 
// 参 数 length, 表 示 生 成 几 位 随机 数 
for(int i=0;i<<length;i 十 十 ) 
| 
String charOrNum= random. nextInt(2) % 2==0 ? "char": "num"; 
// 输 出 字母 还 是 数字 
if("char". equalsIgnoreCase(charOrNum)) 
{ 
// 输 出 是 大 写字 母 还 是 小 写字 母 
int temp 一 random. nextInt(2)% 2 一 二 0? 65: 97; 
val 十 一 (char)(random. nextInt(26) 十 temp); 
else i{("num". equalslgnoreCase(charOrNum)) 


{ 
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val 十 三 String. valueOf(random. nextInt(10)); 
} 
} 


return val; 


public static Vector checkandchange( String val) 
// 得 到 序列 码 中 的 字母 字符 换 成 其 ASC 值 后 的 数字 串 (string 类 型 ), 用 ss 表示 
// 将 序列 码 小 写字 母 转 成 大 写字 母后 得 到 新 的 字符 串 ,用 sss 表示 
// 定 义 一 个 vector 数组 存储 以 上 两 个 值 ,并 return 
String ss=""; 
String sss=""; 
String zifu=""; 
Vector vector= null; 
for(int i=0;i<val. lengthO) ;i 二 十 ) 
{ 
// 第 一 步 , 得 到 ss 
int ascll= val. charAt(i); 
if( (ascll>64 &&. ascll<91)|| (ascll> 96&. &.ascll<123)) 
{ 
// 若 为 大 或 小 写字 母 
zifu 一 ascll 十 ""; 
}elsel{ 
zifu= val. substring(i,i 十 1); 
} 
ss 十 一 zifu; 
// 第 二 步 , 得 到 sss 
if(ascll> 96&. &.ascll<123) 
{ 
// 若 为 小 写字 母 
zifu= val. substring(i'i 十 1). toUpperCase(); 
}else{ 
zifu= val. substring(i,i 十 1); 


} 


sss 二 二 zifu; 
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} 
// 最 后 定义 vector, 将 三 个 结果 放 进 去 
vector 一 new Vector(); 
vector. add(ss); 
vector. add(sss); 
return vector; 
} 
// 转 换 规则 ,余数 的 第 一 位 跟 第 一 个 框 的 第 一 位 交换 ,第 二 位 跟 第 二 个 框 的 第 二 位 换 
// 三 四 同 理 , 余 数 的 第 五 位 不 动 , 且 当 余 数 的 相应 位 上 为 空 则 用 0 代替 
public static String SwapLocation(StringBuilder sss,StringBuilder yushu) 
《 
for(int i=0;i<4;i+ 十 ) 
{ 
// 获 取 sss 中 第 1,7,13,19 位 字符 
String temp= sss. substring(6 * 1,6 * 1+1); 
if(yushu. lengthO)>0) 
{ 
String TEMP= yushu. substring(i,i 十 1); 
sss. replace(6 * i,6 * i+1, TEMP); 
}elsel{ 
sss. replace(6 * 1,6* i 二 1,"0"); 
} 
yushu. replace(i,i+1,temp); 
} 
String result= sss. toString() 十 yushu. toString(); 


return result; 
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% Xlm. m 序列 码 生 成 界面 主 程序 ， 
function varargout= XIm( varargin) 
if nargin= =0 

FigureHandle= figure('visible', 'off) ; 


GenerateFigureContent(FigureHandle) ; 
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movegui( FigureHandle,'center’) ; 
set(FigureHandle,'visible','on") ; 
if nargout>0 
varargout{1})= FigureHandle; 
end 
elseif ischar(varargin{1)) 
try 
[varargout{1: nargout} ]= {eval(varargin{ : )); 
catch 
disp(lasterr); 
end 
end 
function GenerateFigureContent(FigureHandle) 
TabSpace= 10; 
TextNumber=6;PushbuttonNumber=2; 
FigureXPos= 200; 
FigureYPos=100; 
FigureWidth= 480; 
FigureHeight= 350; 
FigurePosition=[ FigureXPos, FigureYPos, FigureWidth, FigureHeight] ; 
FigureColor=[0. 6 0.9 0.9]; 
PushbuttonWidth= 120; 
PushbuttonHeight= 34; 
PushbuttonXPos=3* TabSpace 十 95; 
PushbuttonYPos= FigureHeight— 320; 
PushbuttonPosition=... 
[PushbuttonXPos PushbuttonYPos PushbuttonWidth PushbuttonHeight]; 
PushbuttonString 三 ( 祝 列 码 生 成 ,人 退出"); 
PushbuttonCallback=... 
{'feval("Xlm","XlImRun" ,gcf)', feval("Xlm","CloseFun" ,gcf)' ); 
TextHeight= 8; 
TextXPos= 3 * TabSpace; 
TextYPos= FigureHeight—5 一 2* TabSpace 一 TextHeight 十 2; 
TextWidth= FigureWidth 一 TextXPos —3* TabSpace; 
TextPosition=[ TextXPos TextYPos TextWidth TextHeight]; 
TextString 二 {压缩 算 法 : 1. 同 余 ”2. MD5 默认 1,", 祝 列 码 类 型 : 1. 数字 


2. 其 他 hash 
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值 ”默认 1,", 置 … 换 后 的 序列 码 : ',"); 
TextStyle= {'text', 'edit', text', edit' text', 'edit’) ; 
TextTabSpace=40; 
set(FigureHandle,'toolbar', none',. .. 
numbertitle','off",. . . 
"position',FigurePosition ,. . . 
"MenuBar', none',. . . 
Resize', 'off',. .. 
‘Wwindowstyle', modal',. . . 
‘color', FigureColor,... 
mame' 序 列 码 生成 程序 . . 
wvisible', 'off") ; 


PushbuttonHandle= zeros(1,PushbuttonNumber) ; 





for num=1: Pushbutton Number 
TempPushbuttonPosition= PushbuttonPosition; 
TempPushbuttonPosition(1)= TempPushbuttonPosition(1)... 
十 (num 一 1) * (PushbuttonWidth 十 TabSpace); 
PushbuttonHandle(num) 王 uicontrol(. . . 
parent',FigureHandle,... 
String',PushbuttonString{fnum},.. . 
'style', 'pushbutton', fontsize', 12,... 
'backgroundcolor', 和 .8 .8 .9]','fontname", 宁 体 ',... 
‘callback', PushbuttonCallback {num)} ,. .. 
position', TempPushbuttonPosition) ; 
end 
TextHandle= zeros(1,TextNumber); 
EditColor=[.9 .9 .9]; 
TextColor 一 .. . 
[FigureColor; EditColor; FigureColor; EditColor; FigureColor; EditColor ]; 
for num=1: TextNumber 
TempTextPosition= TextPosition; 
TempTextPosition(4) 王 TempTextPosition(4) 十 10 十 30 * mod(num—1.,2); 
TempTextPosition(2)=... 
TempTextPosition(2) 一 (num 一 1) * (TextTabSpace 十 TextHeight) ; 
TextHandle(numy) 一 uicontrol(parent',.FigureHandle... . 


String',TextString{fnum} ,. .. 
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'HorizontalAlignment', eft', fontsize', 12,... 
'style', TextStyle{num) ,'fontname', 宁 体 ',... 
'backgroundcolor', TextColor(num, : ),... 
'position', TempTextPosition) ; 
end 
set(TextHandle(TextNumber) ,'enable','off', tag', TextHandle’) ; 
RunPushbuttonXPos= FigureWidth— 30+1* TabSpace —PushbuttonWidth; 
RunPushbuttonYPos 王 TempTextPosition(2) 十 TabSpace 一 8; 
RunPushbuttonWidth= PushbuttonWidth 一 3* TabSpace 十 30; 
RunPushbuttonHeight= 30; 
RunPushbuttonPosition= [RunPushbuttonXPos RunPushbuttonYPos. . . 
RunPushbuttonWidthRunPushbuttonHeight]; 
setappdata( FigureHandle,'Pushbutton Handle', PushbuttonHandle) ; 
setappdata( FigureHandle,'TextHandle', TextHandle) ; 
EnableTap= 2; 
EnablePushbuttonPosition= get(PushbuttonHandle(1) ,'position’) ; 
EnablePushbuttonPosition(4) 王 EnablePushbuttonPosition(4) 十 EnableTap; 
AvildColor= get(Pushbutton Handle(1),'backgroundcolor’) ; 
for num=1: TextNumber 
set(TextHandle(num) ,'string', TextString(num)); 
end 
function CloseFun(FigureHandle) 
close; % 退 出 
function ConfCode 二 SnCodeFun(Key,SnCode)%Xlm 算法 调用 
ConfCode= char(Snm()); 


function XImRun(FigureHandle) 
PushbuttonHandle= getappdata( FigureHandle,'PushbuttonHandle’) ; 
TextHandle= getappdata(FigureHandle,'TextHandle’) ; 
Stringl=get(TextHandle(2) ,'string); 
String2= get(TextHandle(4) ,string) ; 
Stringl = char(String]); 
String2= char(String2); 
if isempty(String1) 
Stringl= "1'; 


set(TextHandle(2) ,String',Stringl ,'enable','on',. .. 
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‘foregroundcolor', [0. 8 0.2 0.2],fontsize',16); 

elseif isempty(String2) 

String2= "1"'; 

set(TextHandle(4),'string', String2 ,'enable','on',. .. 

foregroundcolor',[0. 8 0. 2 0.2],'fontsize',16); 

else 

String3= feval('Xlm','SnCodeFun', String] , String2) ; 
set(TextHandle(6) ,'string', String3 ,'enable','on',. .. 

‘foregroundcolor', [0. 8 0. 2 0.2],'fontsize', 16); 


end 


% Snm. m 序列 码 算法 外 部 函数 
function sn= Snm() 
numl=vpi(10)°17; 
b=randint(numl); 
r=mod(b,99999973); 
b= strtrim(num2str(b)); 
while length(b)=17 
b= strcat(0',b); 
end 
r=strtrim(num2str(r)); 
while length(r)=8 
r= strcat(0',r); 
end 
for i=1: 7 
al=2*i+1; 
a2=i; 
[b(al),r(a2)]=Swap(b(al),r(a2)); 
end 
s=strcat(b,r); 
sn=strcat(s(1: 5),—',s(6: 10),—',s(11: 15),'—',s(16: 20),—',s(21: 25)); 
return 


end 


function [sl,s2]=Swap(sl,s2) 


tem= sl; 
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sl=s2; 
s2=tem; 
return 


end 


el a 
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